Cloak

Cloak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов шифрования, используемых в ARCrypt, а затем требует написать в чат на сайте вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---

© Генеалогия: ✂ Babuk + другой код >> Cloak

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crYpt

Записка с требованием выкупа называется: readme_for-unlock.txt

Содержание записки о выкупе:

!!! ATTENTION !!!

Your network is hacked and files are encrypted.

Including the encrypted data we also downloaded other confidential information:

Data of your employees, customers, partners, as well as accounting and

other internal documentation of your company.

All data is stored until you will pay.

After payment we will provide you the programs for decryption and we will delete your data.

If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:

1) The personal information of your employees and customers may be used to obtain a loan or

purchases in online stores.

2) You may be sued by clients of your company for leaking information that was confidential.

3) After other hackers obtain personal data about your employees, social engineering will be

applied to your company and subsequent attacks will only intensify.

4) Bank details and passports can be used to create bank accounts and online wallets through

which criminal money will be laundered.

5) You will forever lose the reputation.

6) You will be subject to huge fines from the government.

You can learn more about liability for data loss here:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://gdpr-info.eu/

Courts, fines and the inability to use important files will lead you to huge losses.

The consequences of this will be irreversible for you.

Contacting the police will not save you from these consequences,

but will only make your situation worse.

You can get out of this situation with minimal losses

To do this you must strictly observe the following rules:

DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.

Such actions may DAMAGE them and decryption will be impossible.

DO NOT use any third party or public decryption software, it may also DAMAGE files.

DO NOT Shutdown or Reboot the system this may DAMAGE files.

DO NOT hire any third party negotiators (recovery/police, etc.)

You need to contact us as soon as possible and start negotiations.

Instructions for contacting our team:

Download & Install TOR browser: https://torproject.org

For contact us via LIVE CHAT open our

> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

> Login: CLIENT

> Password: D01EuXJTiTnWR5S*****

If Tor is restricted in your area, use VPN

Меняет обои Рабочего стола на собственное изображение с текстом. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;

wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола; 
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Programdata\wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:

-A- -R- -C- -R- -Y- -P- -T- -E- -R-

Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR 

MD5: a99e3627afb443440686fcb10491d954 

SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318 

SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8 

Vhash: 07403e0f7d1015z11z41z1dz1011z1fz 

Imphash: ec87726c07cd7d8c71e0d2c74f21ea77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 декабря:

IOC: IA

=== 2025 ===

Вариант от 27 марта 2025: 

Сообщение >>

IOC: VT, IA, TG

MD5: 4b61967fdf02be7687b1490e15b9fd68 

SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729 

SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5 

Vhash: 01503e0f7d1bz4hz1lz 

Imphash: 394560d9c73b5168747c25caeda6ba9f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41633

BitDefender -> Gen:Variant.Lazy.627266

ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ

Malwarebytes -> Ransom.Cloak

TrendMicro  -> TROJ_GEN.R002H09CR25

---

Еще один:

IOC: VT, IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 003a07edaa89b9eea34af223b4f41b49 

SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 

SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 

Vhash: 076056656d156561a3z72z6dnz55z67z 

Imphash: 8375c8ffa7db6351deba403a7b77ea2a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.