Spring

Spring Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.