Saved, SecurityAgent

Saved Ransomware

SecurityAgent Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель использует для шифрования данных на удаленных компьютерах свободную программу для шифрования GnuPG, а затем предлагает платную помощь, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Шифрует всего 5% в начале файла. Если пострадали архивы, то некоторые файлы можно извлечь. 


© Генеалогия: предыдущие варианты >> SecurityAgent

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня - начале июля 2021 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .saved

Вымогатели даже не оставили традиционную записку с требованием выкупа. Они используют окно программы удаленной помощи. Отследить куда оно ведёт можно, но только при официальном расследовании инцидента. 

Текст с навязыванием платных услуг написан на открытом экране: 

Содержание текста на экране:

Внимание Внимание Внимание!

Внимание Внимание Внимание!

Добрый день. У Вас возникли сложности на работе?

Не стоит переживать, наши IT-специалисты помогут Вам.

Для этого напишите пожалуйста нам на почту.

Наш email - securityagent@techmail.info

Хорошего и продуктивного дня!

Перевод записки на русский язык:
уже сделан

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это наверняка будут самые важные файлы, в их числе документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
файлы в папке gnupg; 

<random> - случайное название файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

VietnamPav, Zitenmax

VietnamPav Ransomware 

Zitenmax Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: dttcodexgigas.2d302323eab61e5791ab5ce2c6728e6708743bed.
---
Обнаружения:
DrWeb -> Trojan.Encoder.6182
ALYac -> Generic.Ransom.Purge.CA3CF2EC
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Purge.CA3CF2EC
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS
Kaspersky -> Trojan-Ransom.Win32.Purga.m
Malwarebytes -> Malware.AI.4218506913
Microsoft -> Ransom:Win32/Contentocrypt.A
Rising -> Ransom.Contentocrypt!1.B20B (CLASSIC)
Symantec -> Ransom.Purge
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_PURGE.SM2
---

© Генеалогия: ✂ Globe-2 >> VietnamPav (Zitenmax) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Несколько пострадаших есть на русскоязычных форумах. 

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа называется: How to restore files.hta

Содержание записки о выкупе:

All Files Encrypted !!!! - VietnamPav

You ID:

<pre>17780054208290***8600159</pre>

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the 

Mail: zitenmax@rambler.ru 

 

Перевод записки на русский язык:

Все файлы зашифрованы !!!! - VietnamPav

Ваш ID:

<pre> 17780054208290 *** 8600159 </pre>

Вы должны платить за расшифровку в биткойнах. Цена зависит от быстроты вашего ответа нам. После оплаты мы отправим вам дешифратор, который расшифрует все ваши файлы. Если вы хотите их вернуть, пишите нам на Почту: zitenmax@rambler.ru

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore files.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zitenmax@rambler.ru 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 156ed66fb7257ef1bdd6385c71e5aa83

SHA-1: 2d302323eab61e5791ab5ce2c6728e6708743bed

SHA-256: 028f0b1092caf4711857d0958bc798882c4ac9285895c3628f5be0c988f1d560

Vhash: 0250861d1c0d1c0515051069z19z25z23z3fz

Imphash: c9e5491d4e0eaeb36f6523d5af04912f

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать и использовать Globe-2 Decrypter по инструкции >>

 Thanks: 
 thyrex, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WannaDie.NET

WannaDie.NET Ransomware

WannaDie-2021 Ransomware

(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель сообщает пострадавшему, что файлы зашифрованы с AES-256, а затем требует выкуп в 0.0090675 BTC, чтобы вернуть файлы. На самом деле файлы не шифруются. Оригинальное название: WannaDie Ransomware. На файле написано: Microsoft System.exe. Скомпилирован на платформе .NET. В коде есть текст на немецком языке. 
---
Обнаружения:
DrWeb -> Trojan.Winlock.14434, Trojan.Winlock.14435
ALYac -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.Ransom.Filecoder
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/LockScreen.AMW
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen, HEUR:Hoax.MSIL.FakeRansom.gen
Malwarebytes -> Malware.AI.4264087825, Trojan.MalPack.MSIL
Microsoft -> Trojan:Win32/AgentTesla!ml, Program:Win32/Wacapew.C!ml
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:go*, Trojan.Generic/MSIL@AI.92 (RDM.MS*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Locker.Phqi
TrendMicro -> TROJ_GEN.R002H09FP21
---

© Генеалогия: предыдущие на платформе .NET >> WannaDie.NET

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Your PC is now infected with WannaDie ransomware.

You ha 12:59 hours to send 0.0090675 Bitcoins to bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34

All files, documents, pictures and other important data is now encrypted with AES-256

1. Take your phone and open the website paxful.com or download the Paxful app in your App Store!

2. Register on the site or app and buy bitcoins with PayPal or Credit Card until you have 0.0090675 BTC

3. Now send these Bitcoins to the wallet!

4. After you done this 3 Steps send us a mail with the Transaction ID and your WannaDie-ID and then our service team will send you in 30-60min the code to unlock your PC!

5. Place the code in the field above then click enter! I app in your App Store!

---

Thank for the purchase :) Your PC is now encrypted!

Перевод записки на русский язык:

Ваш компьютер заражен WannaDie ransomware.

У вас 12:59 часов для отправки 0,0090675 биткойна на bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*

Все файлы, документы, изображения и другие важные данные зашифрованы с AES-256.

1. Возьмите ваш телефон и откройте сайт paxful.com или загрузите приложение Paxful в свой App Store!

2. Регистрируйтесь на сайте или в приложении и купите биткойны с PayPal или кредитной карты, на сумму 0,0090675 BTC.

3. Теперь отправьте эти биткойны в кошелек!

4. После этих 3 шагов отправьте нам письмо с ID транзакции и вашим WannaDie-ID, а затем наша сервис-команда отправит вам за 30-60 минут код разблокировки вашего ПК!

5. Поместите код в поле выше и нажмите Enter! I в вашем App Store!

---

Благодарим за покупку :) Ваш компьютер теперь зашифрован!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
В данной версии файлы не шифруются, но после доработки и реализации шифрования, по прицелом вполне могу оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Microsoft System.exe - название вредоносного файла;

Microsoft System.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\Microsoft System.exe

C:\Users\kashe\source\repos\Microsoft System\Microsoft System\obj\Debug\Microsoft System.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: b4fcb57eec7811bf3be0452ece7ac93e

SHA-1: d219e66858a1fc99820ce7004a774cdc0cee81af

SHA-256: 4b2f7d5143ee5a64437b9f428d7b3a88d823f7af1d1dd9ae0a4504621e6a450e

Vhash: 23503675151181z9183012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC-2: VT, HA, IA, TG, AR, VMR, JSB

MD5: bd60871047c02c34de4e76aaabf397c9

SHA-1: 11edf1bec6fa977e748eb975b3459f127cbdfb0d

SHA-256: 295f01c0f93400b0bea4823457a1ca09329770c6e2fa2de44972940aba16f0b2

Vhash: 235036755511800111214012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Hive

Hive Ransomware

Hive Doxware

Hunters International (RaaS)

World Leaks Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Угрожает опубликовать данные. Оригинальное название: в записке не указано. На файле написано: encryptor_win32.exe. Написан на языке Go. 

В криптографической схеме 100 различных ключей RSA в диапазоне от 1024 до 5120 бит, одноразовый блокнот (OTP) 10 Мб и настраиваемый потоковый шифр. Даже если пострадавший заплатит выкуп и получит ключ дешифрования, само дешифрование будет долгим (сообщение об этом). 

🐝🐝🐝

Вымогатели, распространяющие Hive Ransomware, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). 

За распространением Hive стоят кибер-группировки из Украины, которые могут действовать и из других стран.  

Пострадавшие сообщают, что вымогатели берут деньги и не дают дешифратор. 

Не верьте вымогателям! Требуйте гарантии и подтверждения возможности расшифровки. 
---
Обнаружения:
DrWeb -> Trojan.Siggen14.9462
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
BitDefender -> Gen:Variant.Razy.853199
ESET-NOD32 -> WinGo/Filecoder.V, A Variant Of WinGo/Filecoder.V
Kaspersky -> Not-a-virus:HEUR:RiskTool.Win32.Generic
Malwarebytes -> Malware.AI.4245506271
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Malware.Heuristic!ET#94% (RDMK:cmR*
Symantec -> ML.Attribute.HighConfidence, Ransom.Hive
Tencent -> Win32.Risk.Generic.Syhw
TrendMicro -> TROJ_GEN.R002H0CFP21
---

© Генеалогия: Bonsoir ? >> Hive > Hive-6 >> Hunters International > World Leaks 

Сайт "ID Ransomware" это идентифицирует как Hive. 

С февраля 2024 добавлена идентификация для Hunters International. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .hive

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt

Содержание записки о выкупе:

Your network has been breached and all data is encrypted.

To decrypt all the data you will need to purchase our decryption software.

Please contact our sales department at:

   xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

      Login: EQA9oyd*****

      Password: vNtgAgb3kM**********

Follow the guidelines below to avoid losing your data:

 - Do not shutdown or reboot your computers, unmount external storages.

 - Do not try to decrypt data using third party software. It may cause irreversible damage.

 - Do not fool yourself. Encryption has perfect secrecy and it's impossible to decrypt without knowing the key.

 - Do not modify, rename or delete *.key.hive files. Your data will be undecryptable.

 - Do not modify or rename encrypted files. You will lose them.

 - Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.

 - Do not reject to purchase. Your sensitive data will be publicly disclosed at xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Перевод записки на русский язык:

Ваша сеть взломана и все данные зашифрованы.

Чтобы расшифровать все данные, вам надо приобрести нашу программу для расшифровки.

Пожалуйста, свяжитесь с нашим отделом продаж по адресу:

   xxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

      Логин: EQA9oyd*****

      Пароль: vNtgAgb3kM**********

Следуйте приведенным ниже инструкциям, чтобы не потерять свои данные:

 - Не выключайте и не перезагружайте компьютеры, не отключайте внешние хранилища.

 - Не пытайтесь расшифровать данные с помощью сторонних программ. Это может причинить необратимый ущерб.

 - Не обманывай себя. Шифрование имеет полную секретность и его невозможно расшифровать, не зная ключа.

 - Не изменяйте, не переименовывайте и не удаляйте файлы *.key.hive. Ваши данные невозможно будет расшифровать.

 - Не изменяйте и не переименовывайте зашифрованные файлы. Вы их потеряете.

 - Не сообщайте властям. Процесс переговоров будет немедленно прекращен, а ключ будет удален.

 - Не отказывайтесь от покупки. Ваши конфиденциальные данные будут публично раскрыты по адресу xxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Скриншоты сайтов вымогателей:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Вероятно используют свой собственный потоковый шифр. 

➤ После шифрования файлов Hive Ransomware уничтожает случайно сгенерированный главный ключ, размером 10 Мбайт, использованный для шифрования файлов. 

➤ Удаляет теневые копии файлов. 

➤ После заражения Hive создает и удаляет бессмысленные данные в C:\\ или C:\Users\<User_name>\AppData\Local\VirtualStore до тех пор, пока жесткий диск не заполнится. Это делает невозможным восстановление зашифрованных файлов, используя остаточные данные.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список каталогов, которые обязательно шифруются: 

Program files

Program files (x86)

ProgramData

Пропускаемые типы файлов:

.lnk, исполняемые файлы и файлы в каталоге C:\Users\Windows

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt - название файла с требованием выкупа; 
encryptor_win32.exe - название вредоносного файла; 

*.key.hive - важный файл, который нельзя изменять и удалять; 

hive.bat - файл с командой на удаление исполняемого файла Hive и для самоудаления; 

shadow.bat - файл с командой на удаление теневых копий файлов и для самоудаления. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

/c hive.bat

/c shadow.bat

C:\Users\Admin\AppData\Local\Temp\shadow.bat

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_TO_DECRYPT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/

HiveLeaks: hxxx://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA-1: cd8e4372620930876c71ba0a24e2b0e17dcd87c9

SHA-256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC-2: VT, IA, AR,

MD5: 2f9fc82898d718f2abe99c4a6fa79e69

SHA-1: 9d336b8911c8ffd7cc809e31d5b53796bb0cc7bb

SHA-256: 88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Hive/

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== АРЕСТЫ === ARRESTS ===

Октябрь 2021 года:

Ссылка на статью >>

Ноябрь 2023:

Ссылка на статью >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 18 июля 2021: 

Расширение: .<random>.hive

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.hive

Записка: HOW_TO_DECRYPT.txt

Файл: lock.exe

Результаты анализов: IOC: VT, IA

MD5: 7202c948aa5af1134efdfe978ec6ef60

Вариант от 22 июля 2021: 

Сообщение >>

Расширение: .<random>.hive

Записка: HOW_TO_DECRYPT.txt

Результаты анализов:  IOC: VT, IA

MD5: 504bd1695de326bc533fde29b8a69319

Вариант от 3 августа: 

Сообщение >>

Расширение: .w2tnk 

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.w2tnk 

Записка: fwdM_HOW_TO_DECRYPT.txt

Файл: a2112.exe

Результаты анализов: IOC: VT, IA

MD5: 4cd42e7aac7f89edf5764b699b2800d0

Сообщение от 16 августа 2021: 

Группа вымогателей Hive атакует даже некоммерческие больницы. 

Статья на сайте BleepingComputer >>

Вариант от 2 сентября 2021:

Сообщение >>

Расширение: .uj1ps

Результаты анализов: IOC: VT, AR

MD5: da13022097518d123a91a3958be326da

Вариант от 14 октября 2021:

Сообщение >>

Расширение: .qxycv

Записка: ueEe_HOW_TO_DECRYPT.txt

Результаты анализов: IOC: VT, IA

MD5: 829a7f19cb43051f04dc6ae9d73d47c5

Новость от 29 октября 2021:

Новые варианты Hive вскоре могут начать шифровать файлы в системах Linux и FreeBSD, чтобы атаковать серверы корпоративного сектора и получать больше выкупа. 

Статья на сайте BleepingComputer >>

Вариант от 26 октября 2021:

Сообщение >>

Расширение: .hive

Записка: HOW_TO_DECRYPT.txt

Файл: encryptor_win32.exe

Результаты анализов: IOC: VT, TG

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

Вариант от 22 ноября 2021:

Сообщение >>

Сообщение >>

Расширение: .accuj

Шаблон расширения: .<random{5}>

Пример зашифрованного файла: file.txt.gUhFdf6JVSFJKKlPDWJaXaQSdrXJ_KE9Xw7UK8BEyRo.accuj

Результаты анализов: IOC: VT, IA

MD5: 80174956b0d1849ee802490817a2748f

=== 2022 ===

Вариант от 4 февраля 2022:

Расширение: .aumcc

Шаблон расширения: .<random{5}>

К именам файлов также добавляется случайная строка.

Записка: 3LUo_HOW_TO_DECRYPT.txt

Результаты анализов: VT

Вариант от 7 февраля 2022:

Расширение: .sncip

Шаблон расширения: .<random{5}>

К именам файлов также добавляется случайная строка.

Записка: eauk_HOW_TO_DECRYPT.txt

Вариант от 24 марта 2022:

Сообщение >>

Результаты анализов: IOC: VT, IA

MD5: b578f712997625c0c97ff55b70152bb0

По обнаружениям Hive Ransomware стал похож на BlackCat Ransomware.

Объясняется это тем, что вымогатели, использующие Hive Ransomware, обновили свой шифровальщик с помощью функций, впервые представленных в атаках BlackCat (ALPHV) Ransomware. Новая версия Hive Ransomware, написанная языке программирования Rust, переключается на VMware ESXi Linux. Поскольку предприятия все больше зависят от виртуальных машин для экономии компьютерных ресурсов, консолидации серверов и упрощения резервного копирования, банды вымогателей создают специальные шифровальщики, ориентированные на эти службы. 

Подробнее в статье на сайте BleepingComputer >>

Новость апреля 2022:

Серверы Microsoft Exchange взломаны! Hive Ransomware установлен! 

Microsoft разучилась работать и не может устранить уязвимости даже у себя под носом! 

Подробнее в статье на сайте BleepingComputer >>

Вариант от 6 июня 2022:

Сообщение >> 

Расширение: .z61yt

Записка: 1uZ5_HOW_TO_DECRYPT.txt

Файл: xp.exe

Результаты анализа: VT + IA

=== 2023 ===

Новость от 26 января 2023:

Министерство юстиции США, ФБР и Европол сообщают, что сумели проникнуть в инфраструктуру хакерской группы Hive еще в июле 2022 года и в итоге предотвратили выплату выкупов на общую сумму около 130 млн долларов. Однако они не называют принадлежность членов группы к какой-либо стране, они даже не обвиняют Россию в участии в этой группе, что само по себе уже удивительно. Почему они не стали этого делать? Да потому что эта группа действовала на территории тех стран, чья полиция участвовала в этой акции. А то, что выделенные сервера хакеров-вымогателей находились под носом у вышеназванных организаций в США и Нидерландах, говорит о том, что в целом и в частности им винить нужно только самих себя. 

Новость от 30 октября 2023:

Исходные коды Hive были проданы, включая веб-сайт и старые версии Golang и C. Покупатель — Hunters International, которые утверждают, что исправили ошибки в Hive Ransomware, которые в некоторых случаях приводили к невозможности расшифровки файлов. По утверждению самих Hunters International шифрование не является основной целью их деятельности, они специализируются на краже данных, как метод давления на жертву при вымогательстве. 

Расширение: .locked

Записка: Contact Us.txt

Data Leak сайт:

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

По данным исследователей совпадения и сходства в коде Hunters International соответствуют более чем 60% кода Hive Ransomware. 

Статья на сайте BC >>

=== 2024 ===

Новость от 28-29 февраля 2024:

В ID-Ransomware добавлена отдельная идентификация для Hunters International.

Расширение: .locked

Записка: Contact Us.txt

Data Leak сайт:

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

=== 2025 ===

Январь 2025:

Операция «Hunters International Ransomware-as-a-Service (RaaS)» планировала поменять название и переключиться исключительно на атаки с целью кражи и вымогательства, но пока кибергруппа продолжает действовать. С 1 января 2025 года Hunters International запустили новую операцию, направленную исключительно на вымогательство, известную как «World Leaks».

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

Внимание! 
Файлы, зашифрованные ранней версией, можно восстановить. 
Но это не так просто. Читайте PDF-документ и статью 
"A Method for Decrypting Data Infected with Hive Ransomware"
hxxxs://arxiv.org/pdf/2202.08477.pdf
hxxxs://arxiv.org/abs/2202.08477

 Thanks: 
 dnwls0719, Michael Gillespie, MalwareDev
 Andrew Ivanov (article author)
 Fabian Wosar, rivitna
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.