Pipikaki

Pipikaki Ransomware

Pipikaki Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымогателям в Skype, ICQ, Telegram или на email, чтобы вернуть файлы. Оригинальное название: Pipikaki. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Pipikaki

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .[5391F333].@PIPIKAKI

В конец кода зашифрованного файла добавляется маркер 5391F333MONSTER

Записка с требованием выкупа называется: WE CAN RECOVER YOUR DATA.txt

Содержание записки о выкупе:

Hello my dear friend

Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted

If you want to restore them,write to our skype - Pipikaki Decryption

Also you can write ICQ live chat which works 24/7 @PIPIKAKI

Install ICQ software on your PC https://icq.com/windows/ or on your mobile phone search in Appstore / Google market ICQ

Write to our ICQ @PIPIKAKI https://icq.im/PIPIKAKI

If we not reply in 6 hours you can write to our mail but use it only if previous methods not working - pipikaki@onionmail.org

 Attention! 

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss. 

* We are always ready to cooperate and find the best way to solve your problem.

* The faster you write, the more favorable the conditions will be for you. 

* Our company values its reputation.  We give all guarantees of your files decryption,such as test decryption some of them 

 We respect your time and waiting for respond from your side 

 tell your unique ID: 5391F333

Sensitive data on your system was DOWNLOADED.

If you DON'T WANT your sensitive data to be PUBLISHED you have to act quickly.

Data includes:

- Employees personal data, CVs, DL, SSN.

- Complete network map including credentials for local and remote services.

- Private financial information including: clients data, bills, budgets, annual reports, bank statements.

- Manufacturing documents including: datagrams, schemas, drawings in solidworks format

- And more...

Перевод записки на русский язык:

Привет, мой дорогой друг

К сожалению для вас, из-за серьезной уязвимости в ИТ-безопасности вы оказались уязвимы для атак, ваши файлы зашифрованы.

Если хотите их восстановить, пишите в наш скайп - Pipikaki Decryption

Также вы можете написать в онлайн-чат ICQ, который работает 24/7 @PIPIKAKI.

Установите программу ICQ на свой ПК https://icq.com/windows/ или на мобильный телефон ищите в Appstore/Google market ICQ

Пишите в наш ICQ @PIPIKAKI https://icq.im/PIPIKAKI

Если мы не ответим в течение 6 часов, вы можете написать на нашу почту, но использовать ее, только если предыдущие способы не работают - pipikaki@onionmail.org

 Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

* Мы всегда готовы к сотрудничеству и найдем лучший способ решить вашу проблему.

* Чем быстрее вы напишете, тем выгоднее будут для вас условия.

* Наша компания дорожит своей репутацией. Мы даем все гарантии расшифровки ваших файлов, в том числе тестовую расшифровку некоторых из них

 Мы уважаем ваше время и ждем ответа с вашей стороны

 сообщите свой уникальный ID: 5391F333

Конфиденциальные данные из вашей системе были СКАЧАНЫ.

Если вы НЕ ХОТИТЕ, чтобы ваши конфиденциальные данные были ОПУБЛИКОВАНЫ, вы должны действовать быстро.

Данные включают:

- Персональные данные сотрудников, CV, DL, SSN.

- Полная карта сети, включая учетные данные для локальных и удаленных служб.

- Частная финансовая информация, включая: данные клиентов, счета, бюджеты, годовые отчеты, банковские выписки.

- Производственная документация, в том числе: дейтаграммы, схемы, чертежи в формате SolidWorks

- И более...

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WE CAN RECOVER YOUR DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Skype: Pipikaki Decryption

ICQ: @PIPIKAKI

Email: pipikaki@onionmail.org

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от  8 июня 2022:

Сообщение >>

Расширение: .@Ransomware_Decrypt

Записка: WE CAN RECOVER YOUR DATA.txt

Вариант от 3 июня 2022: 

Сообщение на форуме >>

Расширение: .[F5274376].w3qupe

Маркер: F5274376MONSTER (состоит из ID и слова MONSTER)

Записка: WE CAN RECOVER YOUR DATA.txt

Email: w3qupe@tuta.io

Telegram: Online7_365

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 @Kangxiaopao
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

StopWarInUkraineLocker

StopWarInUkraine Ransowmare

StopWarInUkraineLocker

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: StopWarInUkraine Ransowmare (в записке) и StopWarInUkraineLocker (в коде). На файле написано: lockuiransow.exe. 

---

Не нужно обольщаться и соглашаться с распространителем вредоносного файла. Совершенно не важны его намерения и текст на экране, пусть даже призывающие остановить войну с его точки зрения. Если файлы реально зашифрованы, а способ вернуть их не работает, то это такой же Ransomware и деструктор, причиняющий вред системе и файлам пользователей, как и многие другие. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35256
BitDefender -> Trojan.GenericKD.48999801
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQN
Kaspersky -> Trojan-Ransom.Win32.Encoder.qfl
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Ransom.FreeUkraine!1.DD84 (CLASSIC)

Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11f20188
TrendMicro -> Ransom.MSIL.STOPWAR.THDBFBB
---

© Генеалогия: предыдущие варианты >> StopWarInUkraineLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Конкретный адресат не указан. Вероятно распространяется из Польши, т.к. в коде есть текст на польском языке. 

К зашифрованным файлам добавляется расширение: .freeukraine

Записка с требованием написана на экране блокировки. Сначала появляется сообщение об ошибке, а после нажатия на кнопку "Continue" экран блокируется зелёным фоном с текстом требований. 

 

Содержание записки о выкупе:

StopWarInUkraine Ransowmare

Your all files in encrypted.

How to decrypt files??

Write "StopWarInUkraine" 10 times in the key box

You have a week to enter.

Stop war in ukraine. 

Перевод на русский язык (грамота оригинала сохранена): 

StopWarInUkraine Ransowmare

Все твои файлы в зашифрованы.

Как расшифровать файлы??

Пиши "StopWarInUkraine" 10 раз в ключ бокс.

У тебя неделя на ввод.

Стоп войне в Украине.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 

lockuiransow.pdb - файл проекта вымогателя; 
lockuiransow.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\grzeg\source\repos\Stop War In Ukraine\lockuiransow\obj\Debug\lockuiransow.pdb

 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: cebcd8313ba1ac74b30bc1c81a3a3a8f

SHA-1: 529a5e8f55a418db2ea054dc17bd63eaf6603b99

SHA-256: 1fd2d0c7d504be306ecaaf6e852142ca053950c386e3fd6ee8a1f2138ed89312

Vhash: 225036556511908cc195020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TxLocker

TxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $10000 в XMR, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> TxLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .txlck

Записка с требованием выкупа называется: f1x_instructions.txt

Содержание записки о выкупе:

https://translate.google.com

-----------------------------------

YOUR COMPANY NETWORK HAS BEEN PENETRATED

All your important files have been encrypted!

Your files are safe! Only modified.

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE

WILL PERMANENTLY CORRUPT IT.

DO NOT MODIFY ENCRYPTED FILES.

DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to

solve your problem.

We gathered highly confidential/personal data. These data are currently stored on

a private server. This server will be immediately destroyed after your payment.

If you decide to not pay, we will release your data to public or re-seller.

So you can expect your data to be publicly available in the near future.

In case of reporting this to law enforcement you need to be ready that they will

confiscate most of your IT infrastructure, and even if you later change your

mind and decide to pay they will not let you.

-----------------------------------

Frequently Asked Questions:

Q: How to decrypt?

A: You need to buy decryption software.

Q: Do you have any proofs that you are able to decrypt my files?

A: You can send up to 3 non-important files for decryption, free of charge.

Q: How much does decryption software cost?

A: $10000 (United States Dollars)

Q: How to buy decryption software?

A: You need to send equivalent XMR to this wallet: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM

Q: What is "XMR"?

A: https://www.getmonero.org/

Q: Where can I buy XMR (Monero)?

A: https://www.getmonero.org/community/merchants/

Q: How to contact with you?

A: Send $100 in XMR to the wallet above. It would be a signal to check email. WE DON'T CHECK EMAIL BEFORE INITIAL $100 PAYMENT.

Q: I've sent you $100, what's next?

A: Send that 

"84wBcPK6dV8BDez***==" 

identification string to that irvesely17@onionmail.org email (Reserve email: ), you can also attach few files for proof of decryption, and wait answer for 24 hours.

[!] This offer have limited time and expires at 23 04(April) 2022

Перевод записки на русский язык:

https://translate.google.com

-----------------------------------

СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА

Все ваши важные файлы зашифрованы!

Ваши файлы в безопасности! Только модифицированы.

ЛЮБАЯ ПОПЫТКА ВЕРНУТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАВСЕГДА РАЗРУШИТ ИХ.

НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакая программа, доступная в Интернете, не может вам помочь. Мы единственные, кто может решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на частном сервере. Этот сервер будет немедленно уничтожен после оплаты.

Если вы решите не платить, мы опубликуем ваши данные для всех или перекупщиков.

Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

В случае сообщения об этом в правоохранительные органы нужно быть готовым к тому, что они конфискуют большую часть вашей ИТ-инфраструктуры, и даже если вы потом передумаете и решите платить, вас не пустят.

--------------------------------------------------

Часто задаваемые вопросы:

В: Как расшифровать?

A: Вам нужно купить программу для расшифровки.

В: Есть ли у вас доказательства того, что вы можете расшифровать мои файлы?

О: Вы можете бесплатно отправить до 3 неважных файлов на расшифровку.

В: Сколько стоит программу для расшифровки?

A: $10000 (доллары США)

В: Как купить программу для расшифровки?

О: Вам надо отправить эквивалент XMR на этот кошелек: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM.

В: Что такое «XMR»?

О: https://www.getmonero.org/

В: Где я могу купить XMR (Monero)?

О: https://www.getmonero.org/community/merchants/

В: Как связаться с вами?

О: Отправьте $100 в XMR на указанный выше кошелек. Это будет сигнал проверить email. МЫ НЕ ПРОВЕРЯЕМ EMAIL ДО НАЧАЛЬНОЙ ОПЛАТЫ 100$.

В: Я отправил вам $100, что дальше?

О: Отправьте эту

"84wBcPK6dV8BDez***=="

идентификационную строку на этот email irvesely17@onionmail.org (резервный адрес электронной почты: ), вы также можете прикрепить несколько файлов для подтверждения расшифровки и ждать ответа в течение 24 часов.

[!] Это предложение ограничено по сроку и действует до 23 04(Апрель) 2022 г.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
f1x_instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: irvesely17@onionmail.org
XMR: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support 
 ***

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ONYX

ONYX Ransomware

Chaos-ONYX Ransomware

ONYX Doxware

(шифровальщик-вымогатель, деструктор, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в ~$100000 в BTC, чтобы вернуть файлы. Оригинальное название: ONYX. Основан на Chaos Ransomware Builder v4. На файле написано: нет данных. Хакеры-распространители: ONYX team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.10598

Avast -> Win32:RansomX-gen [Ransom]
BitDefender -> IL:Trojan.MSILZilla.5554
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Malware.AI.3384415825
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec - Ransom.Sorry
Tencent -> Malware.Win32.Gencirc.11f227d8
TrendMicro -> Ransom_FileCoder.R002C0CDM22
---

© Генеалогия: Chaos Builder v4 >> ONYX

Сайт "ID Ransomware" идентифицирует это как ONYX. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена во второй половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент подготовки статьи на сайте публикации утечек уже было 7 пострадавших компаний из США. 

Злоумышленники, использующие Onyx Ransomware перед шифрованием похищают данные из целевой сети. Затем угрожают публично раскрыть данные, если выкуп не будет уплачен. 

К зашифрованным файлам в полученном образце добавляется расширение: .ampkcz

Вероятно, в других случаях это расширение будет отражать условное название атакованной компании. 

По словам Йиржи Винопала из CERT Чехии, ONYX основан на 4-й версии Chaos Ransomware Builder, которая включает в себя ту же процедуру шифрования вместе с опцией повреждения данных. 

Независимо от того, какой вариант выбран в настройках, там есть ошибка, которая всегда уничтожает все файлы размером более 2 Мб (2117152 байт). В режиме шифрования небольшие файлы шифруются, другие перезаписываются. В режиме перезаписи мелкие файлы пропускаются, а все остальные файлы перезаписываются мусорными данными. Даже если пострадавшие заплатят и получат дешифровщик, то он сможет восстановить только зашифрованные файлы размером меньше 2 Мб. Уплата выкупа бесполезна! 

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

All of your files are currently encrypted by ONYX strain.

As you already know, all of your data has been encrypted by our software. 

It cannot be recovered by any means without contacting our team directly.

DON'T TRY TO RECOVER your data by yourselves. Any attempt to recover your data (including the usage of the additional recovery software) can damage your files. However,

if you want to try - we recommend choosing the data of the lowest value.

DON'T TRY TO IGNORE us. We've downloaded a pack of your internal data and are ready to publish it on our news website if you do not respond. 

So it will be better for both sides if you contact us as soon as possible.

DON'T TRY TO CONTACT feds or any recovery companies. 

We have our informants in these structures, so any of your complaints will be immediately directed to us. 

So if you will hire any recovery company for negotiations or send requests to the FBI, we will consider this as a hostile intent and initiate the publication of whole compromised data immediately.

To prove that we REALLY CAN get your data back - we offer you to decrypt two random files completely free of charge.

You can contact our team directly for further instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion

Login: ampkcz

Password: ***********

YOU SHOULD BE AWARE!

We will speak only with an authorized person. It can be the CEO, top management, etc. 

In case you are not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company! 

Inform your supervisors and stay calm!

Перевод записки на русский язык:

Все ваши файлы сейчас зашифрованы ONYX штаммом.

Как вы уже знаете, все ваши данные зашифрованы нашей программой.

Это нельзя восстановить никаким образом, не связавшись напрямую с нашей командой.

НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ данные сами. Любая попытка восстановить ваши данные (включая использование дополнительных программ для восстановления) может повредить ваши файлы. Однако если вы хотите попробовать — рекомендуем выбирать данные наименьшего значения.

НЕ ПЫТАЙТЕСЬ ИГНОРИРОВАТЬ НАС. Мы загрузили пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите, поэтому для обеих сторон будет лучше, если вы свяжетесь с нами как можно скорее.

НЕ ПЫТАЙТЕСЬ СВЯЗАТЬСЯ с федералами или любыми компаниями по восстановлению.

У нас есть свои информаторы в этих структурах, поэтому любая ваша жалоба будет немедленно направлена к нам.

Поэтому, если вы наймете какую-либо компанию по восстановлению для переговоров или отправите запросы в ФБР, мы посчитаем это враждебным умыслом и немедленно опубликуем все скомпрометированные данных.

Чтобы доказать, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать два случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ВЕРСИЯ ТОР:

(сначала нужно скачать и установить браузер TOR https://torproject.org)

hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion

Логин: ampkcz

Пароль: ***********

ВЫ ДОЛЖНЫ ЗНАТЬ!

Мы будем говорить только с уполномоченным лицом, это может быть генеральный директор, топ-менеджмент и т.д.

Если вы не такой человек - НЕ ПИШИТЕ НАМ! Ваши решения и действия могут нанести серьезный вред вашей компании!

Сообщите начальству и сохраняйте спокойствие!

---

Скриншоты с сайта вымогателей

Содержание текста: 

ONYX RECOVERY

If you are looking at this page right now, that means that your network was succesfully breached by ONYX team.

All of your files, databases, application files etc were encrypted with military-grade algorithms.

If you are looking for a free decryption tool right now - there's none.

Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.

Перевод текста: 

ONYX RECOVERY

Если вы сейчас смотрите на эту страницу, это означает, что команда ONYX успешно взломала вашу сеть.

Все ваши файлы, базы данных, файлы приложений и т.д. зашифрованы алгоритмами военного уровня.

Если вы ищете бесплатный дешифровщик прямо сейчас - его нет.

Антивирусные лабы, исследования, поставщики защитных решений, юридические агентства не помогут вам расшифровать данные.

Диалог из чата (укороченный вариант): 

Скриншоты с сайта ONYX NEWS

Содержание текста: 

If you are a client who declined the deal and did not find your data on website or did not find valuable files, this does not mean that we forgot about you, it only means that data was sold and only therefore it did not publish in free access!

Перевод текста: 

Если вы клиент, который отказался от сделки и не нашел свои данные на сайте или не нашел ценных файлов, это не значит, что мы забыли о вас, это значит только то, что данные были проданы и только поэтому они не были опубликованы в свободном доступе!

Пока никто из пострадавших не согласился платить выкуп в биткоинах. 

По ссылке "Files" под каждой карточкой компании их представители могут увидеть некоторые файлы, которые вымогатели предлагают просмотреть в качестве доказательства компрометации. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Проверяет и отключает функции восстановления и исправления Windows на этапе загрузки, удаляет найденные бэкапы с помощью команд: 

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet

Список типов файлов, подвергающихся шифрованию и перезаписи:
 .1cd, .3ds, .3fr, .3g2, .3gp, .7zip, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .ace, .adp, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .amv, .apk, .arj, .arw, .ascx, .asm, .asmx, .asp, .aspx, .avi, .avs, .backup, .bak, .bat, .bay, .bin, .blob, .bmp, .bz2, .cab, .cer, .cfg, .cfm, .chm, .chw, .cnt, .config, .contact, .core, .cpp, .crt, .css, .csv, .cub, .cvs, .dae, .dat, .dbf, .dbx, .dc3, .dcm, .dcr, .dib, .dic, .dif, .divx, .djvu, .dlf, .dmg, .dmp, .doc, .docm, .docx, .dot, .dotx, .dsm, .dsn, .dwg, .dwt, .dxf, .eml, .epsp, .exif, .exr, .f4v, .flv, .geo, .gif, .gzip, .htm, .html, .ibank, .ico, .idx, .iff, .imr, .inc, .indd, .ini, .iso, .jar, .java, .jdk, .jpe, .jpeg, .json, .jsp, .key, .kmz, .kwm, .ldf, .log, .lzh, .m1v, .m4a, .m4p, .m4v, .max, .md5, .mda, .mdb, .mde, .mdf, .mdw, .mht, .mhtml, .mil, .mka, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .msg, .msi, .myi, .nef, .obi, .obj, .odc, .odm, .odp, .ods, .odt, .oft, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pas, .pdb, .pdf, .pdx, .pfx, .php, .pict, .pls, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppt, .pptm, .pptx, .psb, .psd, .pst, .pub, .qbb, .qbw, .r3d, .rar, .raw, .reg, .rgbe, .rss, .rtf, .safe, .scc, .settings, .sie, .SLDASM, .SLDDR, .SLDPRT, .slk, .sln, .spf, .spi, .spk, .sql, .stm, .sum, .svg, .svgz, .swf, .swift, .tab, .tar, .tar.gz, .tbi, .thmx, .tif, .tlg, .torrent, .tum, .txt, .vbs, .vdi, .vmdk, .vob, .vss, .wallet, .wav, .webm, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .zip (247 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, бэкапы, базы данных, фотографии, музыка, видео, файлы образов, электронных книг, цифровых сертификатов, архивы, файлы чертежей, прикладных программ и пр. 

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b.exe - случайное название вредоносного файла; 

svchost.exe - название вредоносного файла; 

HideClose.mht - извлеченный файл с кодом ключа <EncryptedKey>; 

CompleteRead.mht - извлеченный файл с кодом ключа <EncryptedKey>. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Roaming\svchost.exe

C:\Users\Admin\AppData\Local\Temp\a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b.exe

C:\Users\Admin\Downloads\HideClose.mht

C:\Users\Admin\AppData\Roaming\CompleteRead.mht

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL (для входа)  hxxx://ibpwmfrlbwkfd4asg57t4x2vkrczuq3uhrfxf6y35xoalwjlztil54ad.onion

Tor-URL (ONYX NEWS)  hxxx://mrdxtxy6vqeqbmb4rvbvueh2kukb3e3mhu3wdothqn7242gztxyzycid.onion/

Email: ampkcz@onionmail.org
BTC: bc1qr084cgjjzyhw32rn9fevxg2qrwqp8rz9d4gj8x

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: cf6ff9e0403b8d89e42ae54701026c1f

SHA-1: a4f5cb11b9340f80a89022131fb525b888aa8bc6

SHA-256: a7f09cfde433f3d47fc96502bf2b623ae5e7626da85d0a0130dcd19d1679af9b

Vhash: 22403655151b00714f0034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Jiří Vinopal, vx-underground 
 Andrew Ivanov (article author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.