QuiDDoss

QuiDDoss Ransomware

Fake-Russian Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем оставляет записку на псевдо-русском языке. Текст очень плохой, что говорит о том, что он был переведен с другого языка. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> QuiDDoss

Сайт "ID Ransomware" QuiDDoss пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине октября 2022 г. Имитирует ориентацию на русскоязычных пользователей, может распространяться по всему миру. Первые пострадавшие, которые сообщили об атаке, из Саудовской Аравии. В таком случае это скорее всего ответная антиарабская и антироссийская реакция на то, что Саудовская Аравия вместе с другими странами ОПЕК+ сократила добычу нефти на 2 млн баррелей в день, несмотря на призывы США увеличить добычу. Это выгодно для России, потому злоумышленники использовали русский язык в своих требованиях выкупа. Скорее всего требования выкупа и email-адрес фиктивные. Уплата выкупа бесполезна! 

К зашифрованным файлам добавляется расширение: .Прочти меня

Пример содержания разных зашифрованных файлов:

Зашифрованные файлы в папке вместе с запиской: 

Записка с требованием выкупа называется: Прочти меня.txt

Содержание записки о выкупе:

Сервер компании и все файлы сильно зашифрованы, чтобы взломать коды

Ваше устройство заблокировано. Нам удалось

Мы нацелены на корпоративные серверы через подустройство

Глупость вдохновителя сделала глупой жертвой

Чтобы отправить файл для разблокировки устройства, напишите нам с реквизитами электронного платежа

Файлы будут удалены с ведомого ПК через 7 дней с момента взлома.

Вы должны отправить нам сообщение, чтобы сохранить этот пароль, чтобы мы могли обслуживать вас

----

Программирование обхода паролей - qRnULPV0r2aPomaWc38qhKgZLyyaPeI64YQq6LDngrxrk*****

КуиДДосс@protonmail.com

Перевод записки на русский язык:
***уже сделан***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: quiddoss@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Alice

Alice Ransomware

Alice Ransomware Builder

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Alice Ransomware. На распространяемом файле написано: AliceRansomwareBuilder.exe.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> Alice Ransomware Builder

Сайт "ID Ransomware" Alice пока не идентифицирует. 

Информация для идентификации

Первые посты с сообщениями о продажу услуги по использованию этого крипто-вымогателя были опубликованы на форумах кибер-андеграунда 23 октября 2022 г. Ориентирован на русскоязычных и англоязычных покупателей услуги RaaS, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .alice

Записка с требованием выкупа называется: How to Restore Your Files.txt

Содержание записки о выкупе настраивается покупателем по своему усмотрению. 


Часть текста, размещаемого оператором (продавцом услуги RaaS) на форумах кибер-андеграунда:

Приветствуем тебя в нашем проекте "Alice in The Land of Malware" в нашем проекте главное честность, если ты:

1. Не хочешь переплачивать за пасты и получать ответы по несколько дней, так и не решив вопрос/проблему!

2. Хочешь найти софт который отвечал бы твоим параметрам, который будет служить долго и работать только на тебя!

3. Хочешь найти честный проект, который не будет тебе обещать миллионы приобретая софт. Поддержку по любым вопросам связанным с проектом, а также рассказать по желанию о себе).

Слушай друже ты попал куда нужно, тебе тогда стоит обратить внимание на наш проект и работая с нами ты не пожалеешь о потраченных деньгах и своем времени, поэтому мы готовы вести обратную связь с каждым.

Ransomware - Тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Выхлоп с этого очень-очень хороший, также мы предоставляем литературу и поддержку

Скриншоты с одного из форумов: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to Restore Your Files.txt - название файла с требованием выкупа;

AliceRansomwareBuilder.exe - файл крипто-строителя; 

Encryptor.exe - файл шифровальщика;

Decryptor.exe - получаемый дешифровщик. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Форумы, на которых продается (продавался) Alice Ransomware Builder:

hxxxs://bdfclub.com/threads/alice-in-the-land-of-malware-ransomware-shifrovalschik.152074/

hxxxs://darknet.ug/threads/alice-in-the-land-of-malware-ransomware-shifrovalschik.3845/post-15878

Сетевые подключения и связи:
Email оператора-распространителя: Alice_Malware@thesecure.biz
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyble, Bleeping Computer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Octocrypt

Octocrypt Ransomware

Octocrypt Ransomware Builder

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (режим CTR), а затем требует выкуп в 100 Monero, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: octocrypt.exe или что-то еще. Octocrypt нацелен на все версии Windows. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.36817
BitDefender -> Trojan.GenericKD.63394087
ESET-NOD32 -> A Variant Of WinGo/Packed.Obfuscated.A Suspicious
Kaspersky -> UDS:Trojan.Win64.Agent.a
Malwarebytes -> Malware.AI.1501366191
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09K522
---

© Генеалогия: предыдущие сборки >> Octocrypt

Сайт "ID Ransomware" Octocrypt пока не идентифицирует. 

Информация для идентификации

Раннее распространение этого крипто-вымогателя началось на форумах кибер-андеграунда в конце октября 2022 г. Тема называлась: Selling Octocrypt Go Ransomware - UNDETECTED. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .octo

Записка с требованием выкупа называется: INSTRUCTIONS.html

Другим информаторов является изображение, заменяющее обои Рабочего стола.  

Содержание записки о выкупе:

YOUR FILES HAVE BEEN ENCRYPTED USING A STRONG AES-256 ALGORITHM.

SEND 100 Monero (10000.00 USD) TO THE FOLLOWING WALLET

***

ADDITIONAL INSTRUCTIONS LOCATED ON YOUR DESKTOP

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ПОМОЩЬЮ СИЛЬНОГО АЛГОРИТМА AES-256.

ОТПРАВЬТЕ 100 Monero (10000.00 USD) НА СЛЕДУЮЩИЙ КОШЕЛЕК

***

ДОПОЛНИТЕЛЬНЫЕ ИНСТРУКЦИИ НАХОДЯТСЯ НА ВАШЕМ РАБОЧЕМ СТОЛЕ

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.html - название файла с требованием выкупа;
octocrypt.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Форум, на котором продавался Octocrypt Ransomware Builder:

hxxxs://breached.to/Thread-Selling-Octocrypt-Go-Ransomware-UNDETECTED

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 346e7a626d27f9119b795c889881ed3d

SHA-1: ce25203215f689451a2abb52d24216aec153925a

SHA-256: 9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344

Vhash: 056066655d5d15541az27!z

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 2afdbca6a8627803b377adc19ef1467d

SHA-1: 13a0ce1c3ac688c55ba3f7b57fb6c09ad0e70565

SHA-256: e65e3dd30f250fb1d67edaa36bde0fda7ba3f2d36f4628f77dc9c4e766ee8b32

Vhash: 01603e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5a39a2c4f00c44e727c3a66e3d5948c2

SHA-1: 07e7341b86ace9935c4f1062d41a94f3b31f9bf6

SHA-256: 65ad38f05ec60cabdbac516d8b0e6447951a65ca698ca2046c50758c3fd0608b

Vhash: 056066655d5d15541az27!z

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyble
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CriptomanGizmo

CriptomanGizmo Ransomware

Aliases: Criptoman, Gizmo, Warthunder, FIXED, LockBit3-Black

Variants: help_havaneza, mrbroock, Mr. Carabas, firecorecoverfiles, Arvin, Flamingo_unlock, Diamond, Fastwind

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Может шифровать файлы на облачных дисках, если включена автоматическая синхронизация. 
---
Ранний образец никем не был предоставлен! 
---

© Генеалогия (краткая): LockBit с вариантами >> CriptomanGizmo

© Генеалогия (подробная): BlackMatter >> LockBit3 Black >> CriptomanGizmo с вариантами

!!! Here are collected different variants based on BlackMatter or LockBit 3.0 (Black), which may not be related to each other.

!!! Здесь собраны варианты на основе BlackMatter или LockBit 3.0 (Black), и они могут быть не связаны между собой.

Сайт "ID Ransomware" CriptomanGizmo отдельно не идентифицирует. Возможно, некоторые его варианты входят в идентификацию BlackMatter или LockBit 3.0. Антивирусные движки тоже разделяются в обнаружении. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2022 г. Ориентирован на англоязычных пользователей, но может распространяться по всему миру и использоваться на разных языках. 

К зашифрованным файлам добавляется расширение: .hZiV1YwzR

Похоже, что используется случайное расширение: .<random{9}>
То есть используется 9 случайных цифр совместно с английскими буквами. 

Кроме того, в зашифрованных файлах используется конечный маркер.

Записка с требованием выкупа называется: hZiV1YwzR.README.txt

То есть используется шаблон <extension>.README.txt

Текст записки может быть на разных языках. 

Содержание записки о выкупе:

Attention!

All your imortant files were encrypted!

If you want to return files back, email us 

criptoman@mailfence.com or

gizmo12@tutanota.com 

and specify your ID - 68004848694*****

Don't try to decrypt by yourself -  

you can loose all your files permanently!

Don't move or modify files! 

To prove that we can decrypt your files, send 3 any encrypted files (up to 3 Mb) and we decrypt them for free.

Перевод записки на русский язык:

Внимание!

Все ваши важные файлы зашифрованы!

Если вы хотите вернуть файлы, напишите нам

criptoman@mailfence.com или

gizmo12@tutanota.com

и укажите свой ID - 68004848694*****

Не пытайтесь расшифровать сами -

Вы можете навсегда потерять все свои файлы!

Не перемещайте и не изменяйте файлы!

Чтобы доказать, что мы можем расшифровать ваши файлы, пришлите 3 любых зашифрованных файла (до 3 Мб) и мы расшифруем их бесплатно.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hZiV1YwzR.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: criptoman@mailfence.com, gizmo12@tutanota.com 
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 октября 2022: 

Доп. название: warthunder

Сообщение на форуме >>

Расширение: .<random{9}>, например: .3WbzmF0CC

Записка: 3WbzmF0CC.README.txt

Email: warthunder089@mailfence.com, warthunder089@tutanota.de

Вариант от 1 декабря 2022 или раньше: 

Доп. название: help_havaneza

Расширение: .<random{9}>, например: .JxxLLpPns

Записка: JxxLLpPns.README.txt

Email: help_havaneza@cryptolab.net, help_havaneza@bastardi.net

Вариант от 7 декабря 2022: 

Сообщение на форуме >>

Доп. названия: FIXED ransomware, mrbroock

Расширение: .<random{9}>, например: .SanxK6eaA

Записка: SanxK6eaA.README.txt

Email: mrbroock@msgsafe.io

Вариант от 27 января 2023: 

Доп. названия: recoverfiles, firecorecoverfiles

Сообщение на форуме >>

Расширение: .<random{9}>, например: .O0bMlVixK

Записка: O0bMlVixK.README.txt

Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io

Telegram: @firecorecoverfiles

*** пропущенные варианты ****

Вариант от 2-3 апреля 2023:

Дополнительное название: Mr. Carabas

Сообщение на форуме >>

Расширение: .<random{9}>, например: .aaMp0vbm9

Записка: aaMp0vbm9.Readme.txt

Email: carabas1337@proton.me

Вариант от 13 апреля 2023, фактически тоже самое, что и 27 января: 

Доп. названия: recoverfiles, firecorecoverfiles

Сообщение на форуме >>

Расширение: .<random{9}>, например: .kFJdr0qI0

Записка: kFJdr0qI0.README.txt

Email: fireco@onionmail.com, firecorecoverfiles@msgsafe.io

Telegram: @firecorecoverfiles

✋ Эта группа контактов используется также в другой программе-вымогателе, которую я назвал Stop24/7 Ransomware.

Вариант от 1 июня 2023 или раньше: 

Сообщение на форуме >>

Расширение: .<random{9}>, например: .RCi2LUjND

Записка: RCi2LUjND.README

Email: fiileky2023@onionmail.com, fiileky2023@yahooweb.co

Вариант от 2 июня 2023 или раньше: 

Сообщение на форуме >>

Расширение: .<random{9}>, например: .7RIUKJn6Z

Записка: 7RIUKJn6Z.README

Email: mrboot@privyinternet.com

Вариант от 14 июля 2023 или раньше: 

Сообщение на форуме >>

Доп. название: Arvin Ransomware

Расширение: .<random{9}>, например: .0lPojnjbs

Записка: 0lPojnjbs.README

Tor-URL: hxxx://arvinc7prj6ln5wpd6yydfqulsyepoc7aowngpznbn3lrap2aib6teid.onion

Новый вариант или 9 августа 2023 или раньше:

Сообщение на форуме >>

Дополнительные названия: Flamingo_unlock, Flamingo Ransomware

Расширение: .<random{9}>, например: .lAeSUZDqb

Записка: lAeSUZDqb.README.txt

Telegram: @Flamingo_unlock

Результата анализа: VT, IA

➤ Обнаружения: 

BitDefender -> Trojan.Ransom.PIC

DrWeb -> Trojan.PWS.Siggen3.22687

ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.O

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Microsoft -> Ransom:Win32/Lockbit.HA!MTB

Rising -> Ransom.LockBit!1.DFDC (CLASSIC)

Symantec -> Ransom.Lockbit!g6

Tencent -> Trojan-Ransom.Win32.BlackMatter.b

TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN

Новый вариант от 15 ноября 2023 или раньше:

Сообщение на форуме >>

Доп. название: Diamond Ransomware

Расширение: .<random{9}>, например: .HWyVqM2Qi

Записка: HWyVqM2Qi.README.txt

---

Содержание записки: 

~~~ Diamond Ransomware~~~

ID:328891V77

If you want to get a decoder, you need to pay !

We only accept bitcoins !

you will need to install applications 

https://tox.chat/download.html

1)download qTox 64-bit

2)Open chat

3)add ID chat 441562AF2EB4FB6177E2682FF318CDB7543A0835F79D7F8080E5824502300E2E2C**********

if the country is china you will need to install a VPN !

---

IOC: VT + IA

Обнаружения: 

DrWeb -> Trojan.Encoder.31074

BitDefender -> Gen:Heur.Mint.Zard.25

ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M

McAfee -> BlackMatter!EAA67C8AADC1

Microsoft -> Ransom:Win32/Lockbit.HA!MTB

Rising -> Ransom.LockBit!1.DFDC (CLASSIC)

Symantec -> Ransom.Lockbit!g6

Tencent -> Trojan-Ransom.Win32.Crypmodng.gz

TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN

Новый вариант от 25 ноября 2023 или раньше:

Сообщение на форуме >>

Доп. название: FastwindGlobe Ransomware

Расширение: .<random{9}>, например: .KYtDtQsij

Записка: KYtDtQsij.README.txt

Email: fastwindGlobe@mail.ee, fastwindglobe@cock.li

Telegram: @decryptfastwind

!!! Эти же вымогатели ранее использовали FastWind Ransomware.

---

Содержание записки: 

!!!All of your files are encrypted!!!

To decrypt them send e-mail to this address: fastwindGlobe@mail.ee

In case of no answer in 24h, send e-mail to this address: fastwindglobe@cock.li

You can also contact us via Telegram: @decryptfastwind

In case of non-payment, all your files will be posted to the public Internet!

Your personal DECRYPTION ID: 416527F12E10BB291BC845**********

Добавление новых вариантов прекращено! 

Вымогатели могут праздновать! 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***

 Thanks: 
 Sandor, quietman7, al1963, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.