CyberVolk Ransomware
CyberVolk BlackEye Ransomware
Aliases: CyberBytes, Cyb3r Bytes
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.39187
BitDefender -> Trojan.GenericKD.73332128
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQW
Kaspersky -> HEUR:Trojan-Ransom.Win32.GenericCryptor.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01876
TrendMicro -> Ransom_CyberVolk.R002C0DG524
---
© Генеалогия: CyberVolk > CyberVolk BlackEye
Информация для идентификации
Активность этого крипто-вымогателя была в начале июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .cvenc
Записка с требованием выкупа называется: CyberVolk_ReadMe.txt
Записка с требованием выкупа называется: CyberVolk_ReadMe.txt
Содержание записки о выкупе:
Greetings.
All your files have been encrypted by CyberVolk ransomware.
Please never try to recover your files without decryption key which I give you after pay.
They could be disappeared�
You should follow my words.
Pay $1000 BTC to below address.
My telegram : @hacker7
Our Team : https://t.me/cubervolk
We always welcome you and your payment.
Требования выкупа также написаны на экране блокировки, кроме того, меняются обои рабочего стола на собственные с тем же кибер-волком.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;
tmp.bmp - изображение, заменяющее обои рабочего стола;
time.dat - специальный файл с цифрами;
ransom.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
ransom.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe
C:\Users\admin\AppData\Roaming\time.dat
C:\Users\admin\AppData\Local\Temp\tmp.bmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
Telegram: @hacker7
Telegram: hxxxs://t.me/hackerk7
Telegram: hxxxs://t.me/cubervolk
BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 648bd793d9e54fc2741e0ba10980c7de
SHA-1: f5d0c94b2be91342dc01ecf2f89e7e6f21a74b90
SHA-256: 102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12
Vhash: 086046655d1567z90058hz12z1bfz
Imphash: f032b4cc0eb4f2eac3f528efe4c73962
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CyberVolk Ransomware (Cyb3r Bytes) - июнь-июль 2024
CyberVolk Ransomware (hackerk4) - вариант июня 2025
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Предыдущий вариант от 25 июня 2024:
Самоназвание: Cyb3r Bytes (Cyberbytes) Ransomware
Группа хакеров: Cyb3r Bytes Team
Расширение: .cvenc
Записка: CyberVolk_ReadMe.txt
Telegram: @xpolarized
Team: hxxxs://t.me/cyb3rbytes
➤ Обнаружения:
DrWeb -> Trojan.Encoder.39188
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQWFortinet
Malwarebytes -> Ransom.CyberVolk
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
TrendMicro -> Ransom_CyberVolk.R011C0DG624
Вариант от 29 апреля 2025:
Написан на я/п Go
Расширение: .CyberVolk_BlackEye
Записка: ReadMe.txt
Telegram: @CyberVolk_Kbot
MD5: f5c7ef4af5cf67c07d2e4c1c66debf50
SHA-1: 2617fc3024c85c4e2ded91572dfa41a423343820
SHA-256: 2bdfae493ebf8cbcfff81d47aa2f7d1565d030603ec6a00daed0883e205ecfa1
Vhash: 0360f6655d55551555757az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
---
Обнаружения:
BitDefender -> Trojan.Generic.38025972
Kaspersky -> Trojan-Ransom.Win32.GenericCryptor.luc
Rising -> Ransom.Bugbugo!8.1BAE8 (CLOUD)
TrendMicro -> TROJ_GEN.R002H09F225
Вариант от 26 июня 2025:
Новый вариант, написан на языке программирования Go.
Генеалогия нового варианта: Prince >> HexaLocker, CyberVolk (hackerk4)
Расширение: .CyberVolk
Записка: READMENOW.txt
Заменяет изображение рабочего стола на собственное.
Email: hackerk4@proton.me
BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87
MD5: c04e70613fcf916e27bd653f38149f71
SHA-1: eeaff4b80680c7046898363db92cfa5b7d795275
SHA-256: 9cd25d03ee9d4d988e553f5c106460dd4020948254e46c25770e31bd1380e9c9
Vhash: 066086655d55551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
---
Обнаружения:
DrWeb -> Trojan.Encoder.42540
BitDefender -> Trojan.Generic.38152220
ESET-NOD32 -> A Variant Of WinGo/Filecoder.MN
Kaspersky -> Trojan-PSW.Win64.Stealer.ammj
Malwarebytes -> Ransom.CyberVolk
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Win64.Trojan.LummaStealer.Rnkl
TrendMicro -> TROJ_GEN.R002H09FU25
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***
Thanks: S!Ri, petik, pcrisk Andrew Ivanov (article author) Bitshadow to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.