Prince Ransomware
Prince Ransomware Builder
Variants: MoonMan, Black (Black Prince), Wenda, UwU, Sprunki, LockBitch, Hunter (CrazyHunter), JustIce
(шифровальщик-вымогатель, OSR, eduware) (первоисточник на русском)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41316
BitDefender -> Generic.Ransom.Prince.A.8F27131F
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.Prince
Microsoft -> Ransom:Win64/PrinceRansom.MX!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win64.Trojan-Ransom.Generic.Iajl
TrendMicro -> Ransom_PrinceRansom.R002C0DCE25
---
© Генеалогия: Ransomware Builder «Prince» >> Hunter, HexaLocker, DireWolf
Существует несколько похожих вариантов, сделанных с помощью конструктора программ-вымогателей под названием «Prince Ransomware», который ранее был публично доступен на GitHub. Ссылку давать не будем, чтобы не помогать распространению.
Скриншот описания размещенного на Github конструктора
Сайт "ID Ransomware" Prince пока не идентифицирует.
Информация для идентификации
Ранняя активность этого крипто-вымогателя была в июле - ноябре 2024 г. и продолжилась позже в новых вариантах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .MOONMAN
Записка с требованием выкупа называется: READTHISNOW.txt
Содержание записки о выкупе:
Записки от других вариантов:
Записка с требованием выкупа называется: READTHISNOW.txt
Содержание записки о выкупе:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Your files are encrypted by MoonMan/UWU/Sprunki/LockBitch
===UwU ransomware===
bonziWORLD won
trollbox lost
OWOT lost
seamus lost
collabVM lost
pixelplace lost
boofgang lost
DEAL WITH IT
===UwU ransomware===
PSA TO ALL HATERS: BonziGODS won and bonziworld.org is the keyed gem that will save chatting clients
SPRUNKIGODS WON
ALL HEIL THE SPRUNKI REICH
ALL HEIL THE WENDA POOP VIDEOS
ALL HEIL THE BENJI AND SCARLETT
ALL HEIL THE BONZI BUDDY NFTS
ALL HEIL THE TROLLBOX BATTLE RULE34
PCRisk.com ***
PLEASE CONTACT sn33ds3curity@tutanota.com OR vitollebonzi@gmail.com NO DUMPFORUMS/BREACHFORUMS CONTACT SORRY
YOU SHALL FUCKING PAY $1,488 IN SHITCOIN 357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P
SUBSCRIBE TO xxxxs://www.youtube.com/@BonziPOLSKAOfficial
White Power
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Записки от других вариантов:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью инфицированных или специально подготовленных USB-накопителей (флешек), с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Build.bat, Builder.exe - начальные файлы для создания шифровальшика;
Prince-Built.exe - готовый файл шифровальщика;
Decryptor-Built.exe - готовый файл дешифровальщика;
READTHISNOW.txt - название файла с требованием выкупа одного из вариантов;
Windows.exe - название вредоносного файла в одном из вариантов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: sn33ds3curity@tutanota.com, vitollebonzi@gmail.com
BTC: -
Windows.exe - название вредоносного файла в одном из вариантов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: sn33ds3curity@tutanota.com, vitollebonzi@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 7ffcd536703e1b316251cbf1047ef5f6
SHA-1: c9e00a62948da23bf1711dcd92be5923b46e8f06
SHA-256: 84715cf1d82e5139d39d8aadb9580ba80393dfa0f63fa14974e4f74a3e69752e
Vhash: 026086655d15551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Prince Ransomware с вариантами - июль-ноябрь 2024
CrazyHunter Ransomware - апрель-май 2025
CrazyHunter Ransomware - апрель-май 2025
HexaLocker Ransomware - январь 2025 или раньше
HexaLocker-2 Ransomware - апрель 2025 или раньше
DarkLulz Ransomware - июнь 2025
CyberVolk Ransomware (hackerk4) - вариант июня 2025
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 2 апреля 2025:
Доп. название: CrazyHunter
CrazyHunter — это новый вариант вымогателя на основе Go, основанный на семействе вредоносных Prince Ransomware с открытым исходным кодом.
---
MD5: 49ab2985ffb5c565ba8e2995ecee21da
SHA-1: 372ee9d75d2993b7118ccde04da0c46cb8076255
SHA-256: 9fdb36773e2f48cb0cfdf0c28045d32f847a888a146c2e5b898f940e5f6f244e
Vhash: 026066655d5d15541az27!z
Imphash: 9cbefe68f395e67356e2a5d8d1b285c0
➤ Обнаружения:
DrWeb -> Trojan.Encoder.42027
BitDefender -> Generic.Ransom.Prince.A.FBE649A3
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.B
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.Prince
Microsoft -> Ransom:Win64/CrazyHunter.YAC!MTB
Rising -> Ransom.Prince!1.12B11 (CLASSIC)
Tencent -> Win64.Trojan-Ransom.Generic.Unkl
TrendMicro -> Ransom_CrazyHunter.R002C0DDE25
Вариант от 22 июня 2025:
Отдельная статья: DarkLulz Ransomware >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Вариант от 20 июля 2025:
Самоназвание: JustIce (Just Ice) Ransomware
Сообщение >> https://x.com/siri_urz/status/1947187414310523194
Расширение: .JustIce
Записка: README.txt
Email: dr.sinaway@gmail.com
IOC: VT
MD5: a29a8d4e687229fa181fdae43338da14
SHA-1: 27e8bd832ab2342f9eb30abc31251b9fd95dd3bd
SHA-256: ecb88c779301286cd15917c41689afd08da7ffbf4fff932916a0fee092a69959
Vhash: 026086655d65551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
---
Обнаружения:
DrWeb -> Trojan.Encoder.42642
BitDefender -> Trojan.GenericKD.76897511
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.JustIce
Microsoft -> Ransom:Win64/PrinceRansom!rfn
Rising -> Ransom.Prince!8.1CBA5 (CLOUD)
TrendMicro -> Ransom_PrinceRansom.R023C0DGM25
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: WithSecure, PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.