Penta

Penta Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0035 BTC, чтобы вернуть файлы. Оригинальное название: Penta. На файле написано: Penta.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36585
BitDefender -> Trojan.GenericKD.37497577
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.SX
Kaspersky -> HEUR:Trojan-Dropper.MSIL.Autit.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Penta.B!MTB
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Penta.R067C0DIG21
---

© Генеалогия: ??? >> Penta

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .PENTA 

Записка с требованием выкупа называется: PENTA_README.txt

Содержание записки о выкупе:

If you want to recover your files, follow these commands and purchase a recovery key.

====================================================

1. Please contact us by email below and send us your VH2S, which is your VICTOM number.

2. If you have sent the correct VICTOM number via email, you will be sent a site where you can purchase the recovery key.

3. Go to the www.torproject.org site and download the Tor browser.

4. Please connect to the site and send 0.0035 bitcoin to the bitcoin wallet written on the site. If you don't have bitcoin, buy it with your credit card and send it.

5. If the purchase is complete, download and run the recovery key. Your files will be restored if the program has run normally. If you run the program and nothing happens, please run the program again.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Перевод записки на русский язык:

Если вы хотите восстановить файлы, следуйте этим командам и купите ключ восстановления.

================================================== ==

1. Напишите нам на email ниже и отправьте нам свой VH2S, который является вашим номером ЖЕРТВЫ.

2. Если вы отправили правильный номер ЖЕРТВЫ на email, вам будет отправлен сайт, на котором вы сможете купить ключ восстановления.

3. Зайдите на сайт www.torproject.org и загрузите браузер Tor.

4. Подключитесь к сайту и отправьте 0.0035 биткойнов на биткойн-кошелек, указанный на сайте. Если у вас нет биткойнов, купите его с помощью кредитной карты и отправьте.

5. Если покупка завершена, загрузите и запустите ключ восстановления. Ваши файлы будут восстановлены, если программа работает нормально. Если при запуске программы ничего не происходит, запустите ее еще раз.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

В зашифрованном файле содержится ключ шифрования. 

Файлы, связанные с этим Ransomware:
PENTA_README.txt - название файла с требованием выкупа;
PENTA.exe - название вредоносного файла;

PENTA_RANSOMWARE.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ebe64febebaba6afb65f51168a40934b

SHA-1: 9e04c2831f89085edc646cdf25afbdf24d3236be

SHA-256: e990841e3e475107fcd59bee9ab18b79d44d8602e20b877a6959a68117540365

Vhash: 27403665151110262f122080

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 сентября 2021:

Сообщение >>

Записка: PENTA_README.txt

BTC: 0.0035

Email: pentros30@protonmail.com

Tor-URL: www.pentakey_35FH_0V1X_GRR3.onion

Файл: PENTA_RANSOMWARE.exe

Результаты анализов: 

IOS: VT, AR

MD5: 81f5893f673b81ed4a271634c899aed2

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SanwaiCrypt

SanwaiCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.002077 BTC, чтобы вернуть файлы. Оригинальное название: SanwaiCrypt и sanwaiWare 2021. На файле написано: gerjjkrkjjk33.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36493
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.Injector.gzsbs
BitDefender -> Trojan.Generic.30043531
ESET-NOD32 -> Win32/Filecoder.OIJ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Malwarebytes -> Malware.AI.3537836220
Microsoft -> Ransom:Win32/SanwaiCrypt.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Aihk
TrendMicro -> Ransom.Win32.SANWAI.A
---

© Генеалогия: ??? >> SanwaiCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sanwai

Записки с требованием выкупа называются: 
IMPORTANT.txt

IMPORTANT.html

Содержание записки IMPORTANT.txt:

!! sanwaiWARE !!

YOUR FILES HAVE BEEN ENCRYPTED. THE ONLY WAY TO GET THEM BACK IS BY MAKING PAYMENT.

TO GET YOUR FILES BACK, YOU MUST:

- SEND 0.002077 BITCOIN TO bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

 * MAKE SURE YOU COVER THE FEES AND SEND THE EXACT AMOUNT TO THE ADDRESS!

ONCE THE PAYMENT IS MADE, OPEN DECRYPTOR FILE ON DESKTOP AND YOU WILL HAVE ACCESS TO ALL OF YOUR FILES AGAIN, AND THIS WILL NOT HAPPEN AGAIN

sanwaiWare 2021

Перевод записки IMPORTANT.txt на русский язык:

!! sanwaiWARE !!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ИХ - ЗАПЛАТИТЬ.

ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ, ВЫ ДОЛЖНЫ:

- ОТПРАВИТЬ 0.002077 БИТКОИНА НА bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

* УБЕДИТЕСЬ, ЧТО ВЫ ОПЛАТИЛИ СБОР И ОТПРАВИЛИ ТОЧНУЮ СУММУ НА АДРЕС!

ПОСЛЕ СЛОВА ОПЛАТЫ ОТКРОЙТЕ ФАЙЛ ДЕКРИПТОРА НА РАБОЧЕМ СТОЛЕ, И ВЫ ПОЛУЧИТЕ ДОСТУП КО ВСЕМ ВАШИМ ФАЙЛАМ, И ЭТО БОЛЬШЕ НЕ СЛУЧИТСЯ.

sanwaiWare 2021

Содержание записки IMPORTANT.html:

sanwaiWare 2021

Your files have been encrypted.

PAYMENT

Send 0.002077 BITCOIN to

bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

AFTER PAYMENT

Once you have sent payment, open the Decryptor on your Desktop.

Attempting to reverse will result in your files being lost forever.

PAYMENT NOTICE

You have (48) hours from initial notice to make payment.

If payment is not made within the time frame, your files will be deleted.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 

gerjjkrkjjk33.exe - название вредоносного файла; 

h6vn2o125.dll - название вредоносного файла; 

decryptor.exe - название файла дешифровщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e530cbe69e8f66f8a8560ad9f31bfdf3

SHA-1: f72ca49a000436158abb13902e4b5a864729723a

SHA-256: 9d6a780c9d7d1b3d95717fda1f4b388aef2d7282884b0c84714e3755dbabb71b

Vhash: 055056656d155560a2z13z38nz24z21384z1

Imphash: 3d969f9aab4c7fb9b9db6eeb3737ae56

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HQ_52_42

HQ Ransomware

HQ_52_42 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные в корпоративной сети с помощью AES+RSA, а затем требует выкуп в 25-35 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HQ_52_42.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34387, Trojan.Encoder.34388

ALYac -> Trojan.Ransom.WannaSmile
Avira (no cloud) -> TR/AD.ZCrypt.oytdw, TR/AD.ZCrypt.nbrdh
BitDefender -> Gen:Variant.Ransom.HQ.1, Gen:Heur.Mint.Zard.2
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIC
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen, HEUR:Trojan-Ransom.Win32.Instructions.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/HQCrypt.PA!MTB
Rising -> Trojan.Generic@ML.82 (RDMK:*
Symantec -> Ransom.Crysis, Downloader
Tencent -> Win32.Trojan.Filecoder.Pcir, Win32.Trojan.Filecoder.Pcsb
TrendMicro -> Ransom.Win32.ZCRYPT.SM
---

© Генеалогия: ✂ WannaSmile >> HQ_52_42

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HQ_52_42

Записка с требованием выкупа называется: How to decrypt files.html

Содержание записки о выкупе:

ALL YOUR PERSONAL FILES ARE ENCRYPTED

All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this Network. It means that you will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don’t know how to get Bitcoins, you can google “How to Buy Bitcoins” and follow the instructions.

To recover your files and unlock your computers, you must send 25 Bitcoins (This amount for all Network), to the next Bitcoin address:

bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

YOU ONLY HAVE 1 WEEK TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 35 Bitcoins. Also, if you don’t pay in 2 Week, your unique key will be destroyed and you won’t be able to recover your files anymore.

WARNING!

DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.

After Payment , Send message to XMPP ID ( rans_contact@xmpp.jp ) for receive Private Key

Перевод записки на русский язык:

ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ

Все ваши данные (фото, документы, база данных, ...) были зашифрованы с помощью частного и уникального ключа, сгенерированного для этой Сети. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это сделать платеж.

Оплата должна быть произведена в биткойнах на уникальный адрес, который мы создали для вас. Биткойны - это виртуальная валюта для совершения онлайн-платежей. Если вы не знаете, как получить биткойны, вы можете погуглить «Как купить биткойны» и следовать инструкциям.

Чтобы восстановить файлы и разблокировать компьютеры, вы должны отправить 25 биткойнов (эта сумма для всей сети) на следующий биткойн-адрес:

bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

У ВАС ЕСТЬ ТОЛЬКО 1 НЕДЕЛЯ, ЧТОБЫ ОПЛАТИТЬ ПЛАТЕЖ! Когда отведенное время истечет, оплата увеличится до 35 биткойнов. Кроме того, если вы не заплатите в течение 2 недель, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.

ПРЕДУПРЕЖДЕНИЕ!

НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА РАСШИФРОВКИ. ВЫ ПОТЕРЯЕТЕ СВОИ ФАЙЛЫ НАВСЕГДА. ЕДИНСТВЕННЫЙ СПОСОБ СОХРАНЕНИЯ ФАЙЛОВ - СЛЕДОВАТЬ ИНСТРУКЦИЯМ.

После оплаты отправьте сообщение на XMPP ID (rans_contact@xmpp.jp) для получения закрытого ключа

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html - название файла с требованием выкупа;
HQ_52_42.exe - название вредоносного файла; 

HQ_52_42.pdb - название файла проекта;

js-файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\bigbang\Desktop\al-madani\Release\HQ_52_42.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMPP: rans_contact@xmpp.jp
BTC: bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 484169de5d8c8f283e0b0a1054d3f987

SHA-1: abe62e9356b7291adc35b5672fa92ea2600d60d4

SHA-256: 3ee2e13b3cdae92f1af84610e9b81f7f5d9223b647e5f0e14844fc87a5ae65c4

Vhash: 085076655d551d15556038z5fjz11z3fz

Imphash: 247705c5d89e4ef39be82f4712c40efa

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b245aea38d0273448c1396394f3a6882

SHA-1: 4f8b8a4de89cd84a3f11fa13739cc5b8b63c01c5

SHA-256: f9d676d0317d3adef926e5ebe489de13c89385df2948170e5edb01fa2911bdae

Vhash: 085076655d551d15556038z5fjz11z3fz

Imphash: 247705c5d89e4ef39be82f4712c40efa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

LCRY

LCRY Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LCRY. На файлах написано: LCRY.exe, LCRY_DECRYPTOR.exe, winnt32.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34448, Trojan.Encoder.34459
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.DV
Kaspersky -> Trojan.Win32.Bingoml.cfgy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/SystemHijack.gen, Trojan:Win32/Bingoml!mclg
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Pezj, Win32.Trojan.Bingoml.Amcl
TrendMicro -> TROJ_GEN.R002C0DHQ21, TROJ_GEN.R06BC0WHQ21
---

© Генеалогия: ??? >> LCRY

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Даты компиляции исполняемых файлов приходятся на март-апрель 2021 г. 

К зашифрованным файлам добавляется расширение: .LCRY

Записка с требованием выкупа называется: LCRY_README.txt

Содержание записки о выкупе:

YOU ARE NOW VICTIM OF LCRY RANSOMWARE!

YOUR FILES ARE ENCRYPTED USING A STRONG ALGORITHM!

YOU HAVE NO WAY TO DECRYPT YOUR FILES UNLESS YOU PURCHASE A KEY!

DON'T WORRY!THE KEY IS EASY TO PURCHASE IF YOU FOLLOW THE INSTRUCTIONS!

     1.REGISTER AN EMAIL ACCOUNT.

     2.CONTACT leo20090707@outlook.com!

     3.GIVE OUT YOUR MACHINE ID IN [SYSTEMDRIVE]\LCRY_MACHINEID.ID.

     4.PURCHASE THE KEY AND REMEMBER IT.

     5.OPEN [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE OR THE EXE OF LCRY RANSOMWARE YOU JUST OPENED.

     6.ENTER THE KEY.

     7.WAIT FOR YOUR FILES TO BE DECRYPTED.

PLEASE FOLLOW THE INSTRUCTIONS OR YOU MUST SAY GOODBYE TO YOUR FILES!

Перевод записки на русский язык:

ВЫ СТАЛИ ЖЕРТВОЙ LCRY RANSOMWARE!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ИСПОЛЬЗОВАНИЕМ НАДЕЖНОГО АЛГОРИТМА!

У ВАС НЕТ ВОЗМОЖНОСТИ РАСШИФРОВАТЬ СВОИ ФАЙЛЫ, ЕСЛИ ВЫ НЕ КУПИТЕ КЛЮЧ!

НЕ ВОЛНУЙТЕСЬ, КЛЮЧ ЛЕГКО КУПИТЬ, ЕСЛИ СЛЕДОВАТЬ ИНСТРУКЦИИ!

      1. ЗАРЕГИСТРИРУЙТЕ EMAIL АККАУНТ.

      2. НАПИШИТЕ leo20090707@outlook.com!

      3. УКАЖИТЕ ВАШ MACHINE ID В [SYSTEMDRIVE]\LCRY_MACHINEID.ID.

      4. КУПИТЕ КЛЮЧ И ЗАПОМНИТЕ ЕГО.

      5. ОТКРОЙТЕ [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE ИЛИ EXE ФАЙЛ LCRY RANSOMWARE, КОТОРЫЙ ВЫ ОТКРЫЛИ.

      6. ВВЕДИТЕ КЛЮЧ.

      7. ДОЖДИТЕСЬ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ.

СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ИНАЧЕ ПРОЩАЙТЕСЬ СО СВОИМИ ФАЙЛАМИ!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LCRY_README.txt - название файла с требованием выкупа; 

LCRY_MACHINEID.id - файл с 16 знаками; 
LCRY.exe  - название вредоносного файла; 

LCRY_DECRYPTOR.exe или winnt32.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: leo20090707@outlook.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: bc0b5052b957c3bedff6bb3cb6e0d646

SHA-1: 593a2d83afdf8377207af4b1b20573a2aa83b7bf

SHA-256: 4e33391000cf4732b82569f2ff0196e3cfee10a67b7dcaf52070ac7e2f79826e

Vhash: 04503e0f7d1015z11z4hz13z1fz

Imphash: 4464878084141aa454cc76b8e0df8945

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ee4fa8efb7477465a3f8a29a8e2a2e29

SHA-1: 6a0f698712161fae61dcbf811841b509b42cb08c

SHA-256: 402313e6b87dd3ef9e3b848b315bf3e6fdb3fe6671bdca38fcadfe8396536de7

Vhash: 04503e0f7d1015z11z4hz13z1fz

Imphash: 4464878084141aa454cc76b8e0df8945

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2021: 

Сообщение >> 

Расширение: _lcry_enc

Email: leo20090707@outlook.com 

Файл проекта: E:\Cpp\LCRY_new\x64\Release\LCRY_new.pdb

Файл EXE: LCRY_new.exe

IOS: VT: MD5: dc45ba4d1723097610d6e353ee388921

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

YanluoWang

YanluoWang Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Используется криптографическая библиотека с открытым исходным кодом Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34762
BitDefender -> Trojan.GenericKD.38174063, Trojan.GenericKD.47564204
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen, Trojan-Ransom.Win32.Yanluowang
Malwarebytes -> Malware.AI.113840946, Malware.AI.2179639917
Microsoft -> Ransom:Win32/Yanluow.A, Ransom:Win32/Yanluow.STA
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Yanluowang
Tencent -> Malware.Win32.Gencirc.11de89cb, Win32.Trojan.Malware.Bthe
TrendMicro -> Ransom.Win32.YANLUOWANG.THLOCBA
---

© Генеалогия: Thieflock RaaS + безымянные варианты >> YanluoWang

Сайт "ID Ransomware" идентифицирует это как Yanluowang. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в августе-сентябре, в начале октября и продолжилась в ноябре 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .yanluowang

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Hi, since you are reading this it means you have been hacked.

In addition to encrypting all your systems, deleting backups, we also downloaded 2 terabytes of confidential information. 

Here's what you shouldn't do: 

1) Contact the police, fbi or other authorities before the end of our deal

2) Contact the recovery company so that they would conduct dialogues with us. (This can slow down the recovery, and generally put our communication to naught)

3) Do not try to decrypt the files yourself, as well as do not change the file extension yourself !!! This can lead to the impossibility of their decryption.

4) Keep us for fools)

We will also stop any communication with you, and continue DDoS, calls to employees and business partners.

In a few weeks, we will simply repeat our attack and delete all your data from your networks, WHICH WILL LEAD TO THEIR UNAVAILABILITY!

Here's what you should do right after reading it:

1) If you are an ordinary employee, send our message to the CEO of the company, as well as to the IT department

2) If you are a CEO, or a specialist in the IT department, or another person who has weight in the company, you should contact us within 24 hours by email.

We are ready to confirm all our intentions regarding DOOS, calls, and deletion of the date at your first request.

As a guarantee that we can decrypt the files, we suggest that you send several files for free decryption.

Mails to contact us: 

1) *** 

2) *** 

Перевод записки на русский язык:

Привет, раз вы это читаете, значит, вас взломали.

Кроме шифрования всех ваших систем, удаления резервных копий, мы также загрузили 2 терабайта конфиденциальной информации.

Вот чего не следует делать:

1) Связываться с полицией, ФБР или другими органами до завершения нашей сделки

2) Связываться с компанией по восстановлению, чтобы они вели с нами диалог. (Это может замедлить восстановление и вообще свести на нет наше общение)

3) Не пытайтесь сами расшифровать файлы, а также сами не меняйте расширение файла !!! Это может привести к невозможности их расшифровки.

4) Не держите нас за дураков)

Мы также прекратим любое общение с вами и продолжим DDoS-атаки, звонки сотрудникам и деловым партнерам.

Через несколько недель мы просто повторим нашу атаку и удалим все ваши данные из ваших сетей, ЧТО ПРИВЕСТИ К ИХ НЕДОСТУПНОСТИ!

Вот что вам следует сделать сразу после его прочтения:

1) Если вы рядовой сотрудник, отправьте наше сообщение генеральному директору компании, а также в ИТ-отдел

2) Если вы генеральный директор, специалист ИТ-отдела или другое лицо, имеющее вес в компании, вы должны связаться с нами в течение 24 часов по электронной почте.

Мы готовы подтвердить все наши намерения относительно DDOS, звонков и удаления даты по вашему первому запросу.

В качестве гарантии того, что мы сможем расшифровать файлы, мы предлагаем вам отправить несколько файлов для бесплатной расшифровки.

Почта для связи с нами:

1) *** 

2) *** 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ По данным исследователей в большинстве случаев используется PowerShell для загрузки инструментов в скомпрометированные системы для разведке. Затем злоумышленники включают RDP через реестр, чтобы обеспечить удаленный доступ. После получения начального доступа злоумышленники обычно развертывают ConnectWise (ранее известный как ScreenConnect), легитимный инструмент удаленного доступа. Для горизонтального перемещения и идентификации интересующей системы, к примеру сервер Active Directory жертвы, злоумышленники развертывают Adfind, бесплатный инструмент, который можно использовать для запроса Active Directory, и SoftPerfect Network Scanner (netscan.exe), общедоступный инструмент, используемый для обнаружения имен хостов и сетевых служб.

➤ Для кражи учётных данных и хищения другой информации используются различные инструменты:

GrabFF: для сброса паролей из Firefox; 

GrabChrome: для сброса паролей из Chrome; 

BrowserPassView: для сброса паролей из Internet Explorer и других браузеров;

KeeThief: для копирования главного ключа из KeePass;

FileGrab: для захвата экрана и эксфильтрации файлов;

и другие. 

➤ Использует скрипт PowerShell, в очередной раз подтверждая вредоносность этой технологии. В командной оболочке использует команду NET STOP для остановки системных служб ОС Windows. 

/c powershell -command "Get-VM | Stop-VM -Force"

cmd.exe

net stop MSSQLServerADHelper100

net stop MSSQL$ISARS

net stop MSSQL$MSF

net stop SQLAgent$ISARS

net stop SQLAgent$MSF

net stop SQLBrowser

net stop ReportServer$ISARS

net stop SQLWriter

net stop WinDefend

net stop mr2kserv

net stop MSExchangeADTopology

net stop MSExchangeFB

net stop MSExchangeIS

net stop MSExchangeS

net stop ShadowProtectSvc

net stop SPAdminV4

net stop SPTimerV4

net stop SPTraceV4

net stop SPUserCodeV4

net stop SPWriterV4

net stop SPSearch4

net stop IISADMIN

net stop firebirdguardiandefaultinstance

net stop ibmiasrw

net stop QBCFMonitorService

net stop QBVSS

net stop QBPOSDBServiceV12

net stop "IBM Domino Server (CProgramFilesIBMDominodata)"

net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"

net stop "Simply Accounting Database Connection Manager"

net stop QuickBooksDB1

net stop QuickBooksDB2

net stop QuickBooksDB3

net stop QuickBooksDB4

net stop QuickBooksDB5

net stop QuickBooksDB6

net stop QuickBooksDB7

net stop QuickBooksDB8

net stop QuickBooksDB9

net stop QuickBooksDB10

net stop QuickBooksDB11

net stop QuickBooksDB12

net stop QuickBooksDB13

net stop QuickBooksDB14

net stop QuickBooksDB15

net stop QuickBooksDB16

net stop QuickBooksDB17

net stop QuickBooksDB18

net stop QuickBooksDB19

net stop QuickBooksDB20

net stop QuickBooksDB21

net stop QuickBooksDB22

net stop QuickBooksDB23

net stop QuickBooksDB24

net stop QuickBooksDB25

Использует команду taskkill для завершения процессов по идентификаторам или именам исполняемых файлов. 

taskkill /f /im mysql*

taskkill /f /im dsa*

taskkill /f /im veeam*

taskkill /f /im chrome*

taskkill /f /im iexplore*

taskkill /f /im firefox*

taskkill /f /im outlook*

taskkill /f /im excel*

taskkill /f /im taskmgr*

taskkill /f /im tasklist*

taskkill /f /im Ntrtscan*

taskkill /f /im ds_monitor*

taskkill /f /im Notifier*

taskkill /f /im putty*

taskkill /f /im ssh*

taskkill /f /im TmListen*

taskkill /f /im iVPAgent*

taskkill /f /im CNTAoSMgr*

taskkill /f /im IBM*

taskkill /f /im bes10*

taskkill /f /im black*

taskkill /f /im robo*

taskkill /f /im copy*

taskkill /f /im sql

taskkill /f /im store.exe

taskkill /f /im sql*

taskkill /f /im vee*

taskkill /f /im wrsa*

taskkill /f /im wrsa.exe

taskkill /f /im postg*

taskkill /f /im sage*

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
49d828087ca77abc8d3ac2e4.exe - случайное название вредоносного файла;

ConsoleApplication2.pdb

rijndael_simd.cpp

gf2n_simd.cpp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\111\Desktop\wifi\project\ConsoleApplication2\Release\ConsoleApplication2.pdb

C:\Users\User\AppData\Local\Temp\49d828087ca77abc8d3ac2e4.exe

C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\rijndael_simd.cpp

C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\gf2n_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: адреса скрыты исследователями 
BTC: не показаны исследователями 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ba95a2f1f1f39a24687ebe3a7a7f7295

SHA-1: b4da6af343b27594fee7109a02ef699ba52f6e46

SHA-256: 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d

Vhash: 035056655d555560c3z42z63hz1lz

Imphash: 380467bc2cc16b8ce64d4802632fe491

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: afaf2d4ebb6dc47e79a955df5ad1fc8a

SHA-1: c418ce055d97928f94ba06b5de8124a601d8f632

SHA-256: d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c

Vhash: 045056655d555560c3z42z63hz1lz

Imphash: 380467bc2cc16b8ce64d4802632fe491

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message 
 Write-up, Write-up, Topic of Support
 * 

18 апреля 2022 года. Файлы можно расшифровать. 
Поддержка расшифровки добавлена в RannohDecryptor 
Ссылки для загрузки:
https://support.kaspersky.ru/8547
https://support.kaspersky.com/8547

 Thanks: 
 Symantec, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.