TxLocker

TxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $10000 в XMR, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> TxLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .txlck

Записка с требованием выкупа называется: f1x_instructions.txt

Содержание записки о выкупе:

https://translate.google.com

-----------------------------------

YOUR COMPANY NETWORK HAS BEEN PENETRATED

All your important files have been encrypted!

Your files are safe! Only modified.

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE

WILL PERMANENTLY CORRUPT IT.

DO NOT MODIFY ENCRYPTED FILES.

DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to

solve your problem.

We gathered highly confidential/personal data. These data are currently stored on

a private server. This server will be immediately destroyed after your payment.

If you decide to not pay, we will release your data to public or re-seller.

So you can expect your data to be publicly available in the near future.

In case of reporting this to law enforcement you need to be ready that they will

confiscate most of your IT infrastructure, and even if you later change your

mind and decide to pay they will not let you.

-----------------------------------

Frequently Asked Questions:

Q: How to decrypt?

A: You need to buy decryption software.

Q: Do you have any proofs that you are able to decrypt my files?

A: You can send up to 3 non-important files for decryption, free of charge.

Q: How much does decryption software cost?

A: $10000 (United States Dollars)

Q: How to buy decryption software?

A: You need to send equivalent XMR to this wallet: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM

Q: What is "XMR"?

A: https://www.getmonero.org/

Q: Where can I buy XMR (Monero)?

A: https://www.getmonero.org/community/merchants/

Q: How to contact with you?

A: Send $100 in XMR to the wallet above. It would be a signal to check email. WE DON'T CHECK EMAIL BEFORE INITIAL $100 PAYMENT.

Q: I've sent you $100, what's next?

A: Send that 

"84wBcPK6dV8BDez***==" 

identification string to that irvesely17@onionmail.org email (Reserve email: ), you can also attach few files for proof of decryption, and wait answer for 24 hours.

[!] This offer have limited time and expires at 23 04(April) 2022

Перевод записки на русский язык:

https://translate.google.com

-----------------------------------

СЕТЬ ВАШЕЙ КОМПАНИИ ВЗЛОМАНА

Все ваши важные файлы зашифрованы!

Ваши файлы в безопасности! Только модифицированы.

ЛЮБАЯ ПОПЫТКА ВЕРНУТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАВСЕГДА РАЗРУШИТ ИХ.

НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакая программа, доступная в Интернете, не может вам помочь. Мы единственные, кто может решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на частном сервере. Этот сервер будет немедленно уничтожен после оплаты.

Если вы решите не платить, мы опубликуем ваши данные для всех или перекупщиков.

Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

В случае сообщения об этом в правоохранительные органы нужно быть готовым к тому, что они конфискуют большую часть вашей ИТ-инфраструктуры, и даже если вы потом передумаете и решите платить, вас не пустят.

--------------------------------------------------

Часто задаваемые вопросы:

В: Как расшифровать?

A: Вам нужно купить программу для расшифровки.

В: Есть ли у вас доказательства того, что вы можете расшифровать мои файлы?

О: Вы можете бесплатно отправить до 3 неважных файлов на расшифровку.

В: Сколько стоит программу для расшифровки?

A: $10000 (доллары США)

В: Как купить программу для расшифровки?

О: Вам надо отправить эквивалент XMR на этот кошелек: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM.

В: Что такое «XMR»?

О: https://www.getmonero.org/

В: Где я могу купить XMR (Monero)?

О: https://www.getmonero.org/community/merchants/

В: Как связаться с вами?

О: Отправьте $100 в XMR на указанный выше кошелек. Это будет сигнал проверить email. МЫ НЕ ПРОВЕРЯЕМ EMAIL ДО НАЧАЛЬНОЙ ОПЛАТЫ 100$.

В: Я отправил вам $100, что дальше?

О: Отправьте эту

"84wBcPK6dV8BDez***=="

идентификационную строку на этот email irvesely17@onionmail.org (резервный адрес электронной почты: ), вы также можете прикрепить несколько файлов для подтверждения расшифровки и ждать ответа в течение 24 часов.

[!] Это предложение ограничено по сроку и действует до 23 04(Апрель) 2022 г.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
f1x_instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: irvesely17@onionmail.org
XMR: 84wBcPK6dV8BDezLCbnqkz2hTQHx9hdnNcMxL26mjCBKBQSEoMWkQFTGTa5v9rubnLdkRLZP5PodAYDVtzj5ynonVAB6FeM

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support 
 ***

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.