Polaris

Polaris Ransomware

PolAris Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Polaris (указано в записке). На файле написано: systemd-timed, polaris.

---
Обнаружения:
DrWeb -> Linux.Encoder.110
BitDefender -> Trojan.GenericKD.47325539
ESET-NOD32 -> A Variant Of Linux/Filecoder.Polaris.A
Kaspersky -> UDS:Trojan-Ransom.Linux.Polaris.a
Microsoft -> Trojan:Linux/Multiverze
Symantec -> Trojan Horse
Tencent -> Linux.Trojan.Filecoder.Svqn
TrendMicro -> TROJ_FRS.VSNTK421, Ransom.Linux.POLARIS.A
---

© Генеалогия: другие вымогатели для Linux серверов >> Polaris (PolAris)

Сайт "ID Ransomware" идентифицирует это как Polaris.

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам никакое расширение не добавляется. 

Записка с требованием выкупа называется: WARNING.txt

Содержание записки о выкупе:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Files on this system have been encrypted by Polaris.

To request decryption key

Mail:

* pol.aris@opentrash.com

* pol.aris@tutanota.com

Discord:

* polaris#3366

In message clearly state name of your company.

WARNING: Do not touch encrypted files. If you brake file structure access will be lost forever.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Перевод записки на русский язык:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Файлы в этой системе зашифрованы Polaris.

Запросить ключ дешифрования

Почта:

* pol.aris@opentrash.com

* pol.aris@tutanota.com

Discord:

* polaris#3366

В сообщении четко укажите название вашей компании.

ВНИМАНИЕ: не трогайте зашифрованные файлы. Если вы нарушите файловую структуру доступ будет утерян навсегда.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WARNING.txt - название файла с требованием выкупа;
systemd-timed, polaris - название вредоносного ELF файла.

Скриншоты кода от исследователя Neogram:

 

Расположения:

/bin - каталог для бинарных (исполняемых приложений); 

/etc - каталог для конфигурационных файлой, стартовых сценариев;

/home - домашние каталоги пользователей; 

/opt - каталог для установки дополнительных приложений; 

/proc - динамический каталог, содержащий информацию о состоянии системы, включая процессы, исполняемые в данный момент;

/tmp - каталог для временных файлов; 

/usr - каталог для приложений и файлой, доступных всем пользователям;

/var - каталог изменяемых файлох, таких как логи и базы данных;

... и, вероятно, другие. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pol.aris@opentrash.com, pol.aris@tutanota.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: c601a9e2b98b8e0146ca4b435bb42a0e

SHA-1: d2bb053f990313a8fc30216025c4eeffbbaafb87

SHA-256: e29aa629bf492a087a17fa7ec0edb6be4b84c5c8b0798857939d8824fa91dbf9

Vhash: 96ff10d1934a2b23862a96897373223d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Neogram
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Owl

Owl Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: FonixCrypter ? >> Owl

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .(OwL)

Фактически используется составное расширение по шаблону: <1st_part_of_filename>[AdminOwl@bitmessage.de]ID=XXXXXXXX.<2nd_part_of_filename.extension>.(OwL)

Пример зашифрованного файла: general[AdminOwl@bitmessage.de]ID=231AD750.photo.png.(OwL)

Записки с требованием выкупа называются: 

!README!.txt 

!README!.hta 

Содержание записки !README!.txt:

Information

  All your important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret internet server and nobody can't decrypt your files until you pay. Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.).

  And be sure to send the test file to be sure.

  To receive payment information, contact our emails and make the subject of the email your ID. 

Our Email :   AdminOwl@bitmessage.de

Our Support Email:   SuportOwl@mail2tor.com

Yuor ID(Email subject) :   231AD750

WARNING!

*You only have 72 hours to pay. If you do not pay after this period, your key will be removed from our servers forever.

*Do not try to decrypt your data using third party software, it may cause permanent data loss.

*Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Информация

  Все ваши важные файлы зашифрованы с помощью самого надежного шифрования и уникального ключа, созданного для этого компьютера. Личный ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите. Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 2 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.).

  И обязательно отправьте тестовый файл, чтобы убедиться.

  Чтобы получить платежную информацию, напишите на наши email и укажите в теме письма свой идентификатор.

Наш email: AdminOwl@bitmessage.de

Адрес нашей службы поддержки: SuportOwl@mail2tor.com

Yuor ID (тема письма): 201AD752

ПРЕДУПРЕЖДЕНИЕ!

* У вас есть только 72 часа на оплату. Если вы не заплатите по истечении этого срока, ваш ключ будет навсегда удален с наших серверов.

* Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.

* Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.

Содержание записки !README!.hta :

All Your Files Have Been Encrypted!

Information

All your important files have been encrypted with strongest encryption and unique key,generated for this computer. Private decryption key is stored on a secret internet server and nobody can't decrypt your files until you pay. Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) . And be sure to send the test file to be sure.

To receive payment information, contact our emails and make the subject of the email your ID. 

WARNING!

You only have 72 hours to pay. If you do not pay after this period, your key will be removed from our servers forever.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Our Email : AdminOwl@bitmessage.de

Our Support Email : SuportOwl@mail2tor.com

Yuor ID(Email subject) : 201AD752

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!README!.txt - название файла с требованием выкупа; 

!README!.hta - название файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AdminOwl@bitmessage.de, SuportOwl@mail2tor.com
BTC: 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2-3 августа 2023:

Расширение: .OwL

Полное расширение: .ID=D3733B57.OwL

Полное расширение: -ID=D3733B57.OwL

Примеры зашифрованных фалов:

{owladmin@onionmail.org}.Termometr.shp.ID=D3733B57.OwL

{owladmin@onionmail.org}.~$Conference.xlsx-ID=D3733B57.OwL

Записки: INFO.txt, INFO.hta

Email: owladmin@onionmail.org, owlsupport@decoymail.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Robux

Robux Ransomware

Pay-5000-Robux Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует заплатить 5000 Robux за игровой абонемент, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: som.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.46263

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> HEUR/AGEN.1138003
BitDefender -> Gen:Heur.MSIL.Bladabindi.1
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.LR
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Eehy
TrendMicro -> TROJ_GEN.R002C0PJS21 
---

© Генеалогия: HiddenTear >> Robux

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации 

Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random{4}>

Записка с требованием выкупа называется: read_it.txt

Содержание записки о выкупе:

All of you're files have been encrypted and you wont be able to get them back you have 7 days to pay 5,000 Robux otherwise you're files will be gone forever.

Purchase the gamepass down below.

Link: hxxx://www.roblox.com/game-pass/24150606/Passess

As soon as you buy the gamepass you're files will be automatically unlocked.

contact Email: g0dd@criptext.com

Telegram: RETT_04

If you're files does not automatically unlock after you've sent the payment please contact me with you're roblox username.

Перевод записки на русский язык:

Все ваши файлы были зашифрованы, и вы не сможете их вернуть, у вас есть 7 дней, чтобы заплатить 5000 Robux, иначе ваши файлы исчезнут навсегда.

Купите игровой абонемент внизу.

Ссылка: hxxx://www.roblox.com/game-pass/24150606/Passess

Как только вы купите игровой пропуск, ваши файлы будут автоматически разблокированы.

контактный Email: g0dd@criptext.com

Telegram: RETT_04

Если ваши файлы не разблокируются автоматически после отправки платежа, свяжитесь со мной, указав свое имя пользователя roblox.

Cкриншот страницы сайта, куда нужно зайти

Cкриншот страницы сайта, где нужно купить Robux

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_it.txt - название файла с требованием выкупа;
som.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://www.roblox.com/game-pass/24150606/Passess

Email: g0dd@criptext.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8dae31dc9349c0466dd5716629086efc

SHA-1: 10ba027460e9a4281271d644e09ab65e93df3d1d

SHA-256: 21015517c1ced96b58b6597e50d1805610b48292cfba20c730ae69123f15d684

Vhash: 255036755515020701010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sabbath, 54bb47h

54bb47h Ransomware

Sabbath Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Вымогатели называют себя 54bb47h Team. 
---
Обнаружения:
DrWeb -> 
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: Defray777 или другие предыдущие >> Sabbath (54bb47h)

Сайт "ID Ransomware" это идентифицирует как 54bb47h. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .54bb47h

Фактически используется составное расширение по шаблону: filename.jpg.[XXXXXXXXXXXXXXXX].54bb47h

Этимология названия:

54bb47h = Sabbath (анг. "суббота")

Английские буквы заменяются на цифры: a=4, s=5, t=7

Записка с требованием выкупа называется: *** нет данных ***
В тексте есть разные ошибки, например, пропуски артиклей (a, the) и вспомогательных глаголов (are), что говорит о том, что писавший записку плохо владеет английским языком. 

Содержание записки о выкупе:

###

Dear Sir or Madam,                                                                                          

-------------------------------------------------------------------------------------------

Congratulations!                                                                                             

Id like to inform you that your company has been randomly chosen for audit and that you haven't              

passed it.                                                                                                   

All of your servers are encrypted, same as your backups. Our encryption algorithms impossible to decrypt, same as your company data and infrastructure. However, do not get nervous, as you shall restore all of your all your infrastructure and data! In order to do that, follow simple steps               

that are described bellow:                                                                                 

1. Buy decryption key.                                                                                      

2. Restore all of the company data and infrastructure.           

-------------------------------------------------------------------------------------------

The system hack wasnt done eiter by your competitors or 3rd party, it was strictly our initiative. Our main and only interest is money. 

Also, to be mentioned, we value our reputation and principles a lot, therefore any amateur attempts will be strictly suppressed and will make current situation worse. In addition, all of decryption software mentioned above is tested, as a proof of our abilities, there is a possibility of decrypting few small files for free, for your understanding.                                  

-------------------------------------------------------------------------------------------

Data leakage.                                                                                                

As you probably understood, we have stolen big volume of data from yur network. Mainly, we stole data using our smartfilters from all of your servers- full dump of your network.     

We may discuss the volume of stolen data.                                                         

To sum up, we have completely destroyed your system and infrastructure. We would like to suggest you to think twice, and think about the problems associated with GDPR.                                       

-------------------------------------------------------------------------------------------

TO GET YOUR INFO VISIT US:                                                                           

54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion

Перевод записки на русский язык:

###

Уважаемый Господин или Госпожа,

-------------------------------------------------------------------------------------------

Поздравляю!

Хочу сообщить вам, что ваша компания была выбрана для аудита случайным образом, а вы не прошли это.

Все ваши серверы зашифрованы, как и ваши резервные копии. Наши алгоритмы шифрования невозможно расшифровать так же, как данные и инфраструктуру вашей компании. Однако не нервничай, т.к. вы восстановите всю вашу инфраструктуру и данные! Для этого выполните простые шаги. которые описаны ниже:

1. Купите ключ дешифрования.

2. Восстановите все данные и инфраструктуру компании.

-------------------------------------------------- -----------------------------------------

Системный взлом был сделан не вашими конкурентами или третьей стороной, это была исключительно наша инициатива. Наш главный и единственный интерес - деньги.

Также следует отметить, что мы очень дорожим своей репутацией и принципами, поэтому любые попытки любителя будут строго пресекаться и только ухудшат текущую ситуацию. Кроме того, все программное обеспечение для дешифрования, упомянутое выше, протестировано, в качестве доказательства наших возможностей, для вашего понимания есть возможность дешифровать несколько небольших файлов бесплатно.

-------------------------------------------------- -----------------------------------------

Утечка данных.

Как вы, наверное, догадались, мы украли большой объем данных из вашей сети. В основном мы крали данные со всех ваших серверов с помощью наших смарт-фильтров - полный дамп вашей сети.

Мы можем обсудить объем украденных данных.

Подводя итог, мы полностью разрушили вашу систему и инфраструктуру. Предлагаем вам дважды подумать о проблемах, связанных с GDPR.

-------------------------------------------------- -----------------------------------------

ДЛЯ ИНФОРМАЦИИ ПОСЕТИТЕ НАС:

54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion

Скриншоты с сайта вымогателей:

Содержание текста на странице: 

Why i'm here?

You see this page because we found vulnerability in your system. Because of vulnerability it was possible to modify your data in a way, which temporary disallow further usage of it. Please upload 1 encrypted file that doesn't contain sensitive information and it's size is less then 3 MB using the form below and start recovering your data. If the file was successfully recognized by our system, you will be successfully authorized in the portal and you will receive further instructions. 

Files intergity

During process of encryption software controls the integrity of your files so you can be sure that we can restore your files in previous good condition.

AV companies

There is no and will not be any free solution to recover files. We use military grade algorithms and there is no solution to crack them. Work with us and get your files back.

Conditions

We understand that the customer cannot always pay the fee. We have discounts and price can be negotiated.

BLOG WITH AUCTION

This blog gather information about companies that did not want to pay for our bug hunting work and is indifferent to the personal data of its employees, customers and partners. They just try to keep in secret info leakage. Part of information is for sale part will be free for downloads.

    PREV

    NEXT

Page 1 of 0. Elements 0/0.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion 

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 16 ноября 2021: 

Группа вымогатели зарегистрировала аккаунт в Twitter создала свой блог для публикации утечек. 

hxxx://54bb47h.blog/

hxxx://twitter.com/54bb47h_blog

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie, PeterM
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.