Cloak Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---
© Генеалогия: ✂ Babuk + другой код >> Cloak
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---
© Генеалогия: ✂ Babuk + другой код >> Cloak
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .crYpt
Записка с требованием выкупа называется: readme_for-unlock.txt
Записка с требованием выкупа называется: readme_for-unlock.txt
Содержание записки о выкупе:
!!! ATTENTION !!!
Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data.
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.
What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
https://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences,
but will only make your situation worse.
You can get out of this situation with minimal losses
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.
Instructions for contacting our team:
Download & Install TOR browser: https://torproject.org
For contact us via LIVE CHAT open our
> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion
> Login: CLIENT
> Password: D01EuXJTiTnWR5S*****
If Tor is restricted in your area, use VPN
Меняет обои Рабочего стола на собственное изображение с текстом.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;
wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола;
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Programdata\wallpaper.bmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
-A- -R- -C- -R- -Y- -P- -T- -E- -R-
Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7
Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: a99e3627afb443440686fcb10491d954
SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318
SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8
Vhash: 07403e0f7d1015z11z41z1dz1011z1fz
Imphash: ec87726c07cd7d8c71e0d2c74f21ea77
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 24 декабря:
IOC: IA
Вариант от 27 марта 2025:
=== 2025 ===
Вариант от 27 марта 2025:
MD5: 4b61967fdf02be7687b1490e15b9fd68
SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729
SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5
Vhash: 01503e0f7d1bz4hz1lz
Imphash: 394560d9c73b5168747c25caeda6ba9f
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Variant.Lazy.627266
ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ
Malwarebytes -> Ransom.Cloak
TrendMicro -> TROJ_GEN.R002H09CR25
---
Еще один:
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.