RALord

RALord Ransomware

RA Lord Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через сайт в сети TOR, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: RALord, указано в записке. Написан на языке программирования Rust. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41858
BitDefender -> Trojan.GenericKD.76134943
ESET-NOD32 -> A Variant Of Win64/Filecoder.UI
Kaspersky -> Trojan-Ransom.Win64.Agent.dyk
Malwarebytes -> Ransom.RALord
Microsoft -> Trojan:Win64/RALord.SACR!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Zmhl
TrendMicro -> Ransom.Win64.RALORD.THCBFBE
---

© Генеалогия: родство выясняется >> RALord

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .RALord
 
Записка с требованием выкупа называется по шаблону: README-<random_string>.txt

Примеры: 

README-HB0bIFAoVfPN.txt

README-vuy2vCrkvO1y.txt

Содержание записки о выкупе:

--- RALord ransomware ---

-> Hello , without any problems , if you see this Readme its mean you under controll by RLord ransomware , the data has been stolen and everything done , but

-> you can recover the files by contact us and pay the ransom , the data taken from this device or network have crenditals and your systeminfo too , without talk about files

-> also , we will provide report with hack operation and how to fix errors and up your security

»> contact us here :

-> qtoxID: 0C8E5B45C57AE***

»> important notes :

-> please do not touch the files becouse we can't decrypt it if you touch it

-> please contact us today becouse the leak operation should start

-> in nigotable please make sure to accept our rules, its easy

>>> our websites :

-> mirror 1 : ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion

-> mirror 2 : ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion

-> mirror 3 : ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj21aiuuid.onion

-> to enter this URLs you need to download tor : https://www.torproject.org/download/

--- RALord ransomware ---

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-<random_string>.txt - название файла с требованием выкупа;
google.exe, updater.exe - названия вредоносных файлов. 

Скриншот из кода RALord Ransomware:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Program Files\Google3968_50907878\bin\updater.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

hxxx://ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion

hxxx://ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion

hxxx://ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj2laiuuid.onion

qTOX: 

8E9A6195A769FE7115F087C61D75CF32874C339B3AB0947D07480C9A8A12DA5009151BE6A51F

0C8E5B45C57AE244E9C904C5BC74F73306937469D9CEA22541CA69AC162B8D42A20F4C0382AC

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: be15f62d14d1cbe2aecce8396f4c6289 

SHA-1: e9cced71d31937d75edac3fceee1d21e46cd5351 

SHA-256: 456b9adaabae9f3dce2207aa71410987f0a571cd8c11f2e7b41468501a863606 

Vhash: 035056655d15555018z383z3@z 

Imphash: e2137755f1a3df73f14b0df970d5dc94

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Gameel Ali, S!Ri, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Nemesis-888

Nemesis-888 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  алгоритма AES-256 (режим CBC), а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: svchost.dll. В некоторых случаях файлы можно расшифровать. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41867
BitDefender -> Gen:Variant.Lazy.610044
ESET-NOD32 -> A Variant Of Win64/Filecoder.UG
Kaspersky -> Trojan-Ransom.Win32.Agent.bcdg
Malwarebytes -> Trojan.Crypt.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan-Ransom.Agent.Jmnw
TrendMicro -> TROJ_GEN.R002H09CL25
---

© Генеалогия: родство выясняется >> Nemesis-888

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале-середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. На момент написания статьи ничего неизвестно о распространении. 

К зашифрованным файлам добавляется расширение: .888

Пример зашифрованного файла и текст в нем: 

 

Записка с требованием выкупа называется: !RESTORE_FILES!.txt

Содержание записки о выкупе:

+----------------------------------------------------------------------------+

|   !!!ALL YOUR FILES ARE ENCRYPTED, AS A RESULT OF A BREACH IN SECURITY!!!  |

+----------------------------------------------------------------------------+

No worries - you can get them back!

It's impossible to decrypt without contacting us.

+----------------------------------------------------------------------------+

|   !!!DON'T TRY TO CHANGE ENCRYPTED FILES!!!                             |

|   !!!DON'T RENAME ENCRYPTED FILES!!!                                         |

|   !!!DON'T USE ADDITIONAL RECOVERY SOFTWARE!!!                      |

|   !!!IT WILL MAKE THEM IMPOSSIBLE TO DECRYPT!!!                       |

+----------------------------------------------------------------------------+

How to return all your data back in safe:

1. Copy and sent us your KEY.

2. We can decrypt 2 small files, no databases (.jpg, .txt, .doc, ets.. (up to 3mb)) as your warranty.

3. After payment, you will receive a special software for decryption.

--------------------------------------------------------------------------------------------

KEY: P/f/VlNzAE255D0071***

--------------------------------------------------------------------------------------------

EMAILS:

nemesis@888recover.4wrd.cc

nemesissupport@firemail.cc

Zero cheats, all integrity.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы в следующих директориях: 

ProgramData

Microsoft

Program Files(x86)

Microsoft.

Roaming\\Microsoft

AppData\\Local\\Temp

\\Windows\\System32

Пропускает, не шифрует следующие файлы: 

svchost.exe, bootmgr, bootmgr.efi, bootmgr.efi.mui, bootmgr.exe, bootmgr.exe.mui, img___XXX.jpg, !RESTORE_FILES!.txt

Файлы, связанные с этим Ransomware:
!RESTORE_FILES!.txt - название файла с требованием выкупа;

svchost.pdb - название файла проекта вредоносного файла;

img___XXX.jpg - некий файл изображения; 
svchost.dll -> svchost.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nemesis@888recover.4wrd.cc, nemesissupport@firemail.cc
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: 5315bdbf85ad2b3bb13ae8ee62489f7f 

SHA-1: 8b0e4650f1a7080b78066a61152e571ca8b6816b 

SHA-256: : dee0fde2d096c79e138890f958b9440e87cce38504b654a97de50bb7969a9c98 

Vhash: 026086666c056d15651550a8z9d7z7uz1 

Imphash: bc942efe47009b1887e57410405ef4d1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Frag

Frag Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41836
BitDefender -> Gen:Variant.Ulise.539154
ESET-NOD32 -> A Variant Of Win64/Filecoder.QQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dyh
Malwarebytes -> Ransom.Frag
Microsoft -> Program:Win32/Wacapew.C!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1459265c
TrendMicro -> TROJ_GEN.R002H09CK25
---

© Генеалогия: родство выясняется >> Frag 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .frag

Записка с требованием выкупа называется: _README_.txt

Содержание записки о выкупе:

Frag is here!

If you are a regular employee, manager or system administrator, do not delete/ignore this note or

try to hide the fact that your network has been compromised from your senior management. This

letter is the only way for you to contact us and resolve this incident safely and with minimal loss.

We discovered a number of vulnerabilities in your network that we were able to exploit to

download your data, encrypt the contents of your servers, and delete any backups we could reach.

To find out the full details, get emergency help and regain access to your systems,

All you need is:

1. Tor browser (here is a download link: https://www.torproject.org/download/

2. Use this link to enter the chat room -

xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

3. Enter a code ( PBTWHBE2ZULGRBNJ2NKB30KC64L***** ) to sign in.

4. Now we can help you.

We recommend that you notify your upper management so that they can appoint a responsible

person to handle negotiations. Once we receive a chat message from you, this will mean that we

are authorised to pass on information regarding the incident, as well as disclose the details inside

the chat. From then on, we have 2 weeks to resolve this privately.

We look forward to receiving your messages.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_README_.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 32d07d96b7bf9504a3127d0359cf1af1 

SHA-1: af18edd87d9159362b53349f85b858975919fc56 

SHA-256: 711d5c83655fbf1a139dcaf91db06d158e1958a1edb8e4885b526c137abf5a69 

Vhash: 034056555d15151az32hz2021z2fz 

Imphash: 1c253c2fdb6574e7828dffaa28b935b8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mamona

Mamona Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать в чат сайта вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41843
BitDefender -> Gen:Trojan.Heur3.LPT.lyW@aittNXfab
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Malware.Win32.Gencirc.10c352d7
TrendMicro -> Ransom.Win32.MAMONA.THCBOBE
---

© Генеалогия: родство выясняется >> Mamona

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HAes

Записка с требованием выкупа называется: README.HAes.txt

Содержание записки о выкупе:

~~Mamona, R.I.P!~~

Welcome!

Visit our blog --> hxxx://owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat —> bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion/victim-chat/s630fx3eow8u

Password —>

As you may have noticed by now, all of your files were encrypted & stolen.

[What happened?]

-> We have stolen a significant amount of your important files from your network and stored them on our servers.

-> Additionally, all files are encrypted, making them inaccessible without our decryption tool.

[What can you do?]

--> You have two options:

--> 1. Pay us for the decryption tool, and:

--> - You can decrypt all your files.

--> - Stolen data will be deleted from our servers.|

--> - You will receive a report detailing how we accessed your network and security recommendations.

--> - We will stop targeting your company.

--> 2. Refuse to pay and:

--> - Your stolen data will be published publicly.

--> - Your files will remain locked.

--> - Your reputation will be damaged, and you may face legal and financial consequences.

--> - We may continue targeting your company.

[Warnings]

--> Do not alter your files in any way. If you do, the decryption tool will not work, and you will lose access permanently.

--> Do not contact law enforcement. If you do, your data will be exposed immediately.

--> Do not hire a recovery company. Decrypting these files without our tool is impossible. Each file is encrypted with a unique key, and you need our tool to decrypt them.

Заменяет обои Рабочего стола изображением с чёрным фоном и  информационной надписью. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.HAes.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

Blog: owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat: bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0f6d6ef9b82ece9dbbdc711ac00b5e6a 

SHA-1: 15ca8d66aa1404edaa176ccd815c57effea7ed2f 

SHA-256: c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7 

Vhash: 015066655d1d05651148z641z204hz15z37z 

Imphash: bea0fe4f47a3540e17a85006a21d644c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vanhelsing

Vanhelsing Ransomware

Vanhelsing Locker Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма шифрования ChaCha20, а затем требует связаться с вымогателями через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Vanhelsing Locker. Написан на языке C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41808
BitDefender -> Trojan.GenericKD.76082499
ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Malware.AI.4195397484
Microsoft -> Ransom:Win32/Vanhelsing.DA!MTB
Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c34a3b
TrendMicro -> Ransom.Win32.VANHELSIN.THCAGBE
---

BitDefender -> Trojan.GenericKD.76090600

ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Trojan:Win32/Znyonm!rfn

Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)

Tencent -> Malware.Win32.Gencirc.10c34dde

TrendMicro -> Ransom.Win32.VANHELSIN.THCAHBE

© Генеалогия: родство выясняется >> Vanhelsing

Сайт "ID Ransomware" идентифицирует Vanhelsing с 25 марта 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале — середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vanhelsing
Также может использоваться расширение: .vanlocker

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
—= No news is a good news ! =—
Your network has been breached and all your files Personal data, financial reports and important documents has been stolen , encrypted and ready to publish to public,
if you willing to continue your bussines and make more money and keep bussines secret safe you need to restore your files first. And to restore all your files you have to pay the ransom in Bitcoin.
don't bother your self and wast your time or make it more harder on your bussines , we developed a locker that can't be decrypted using third part decrypters .
making your self geek and trying to restore the files with third part decrypter this will leads to lose all your date ! and then the even you pay the ransom can't help you to restore your files even us.
to chat with us :
1 - Download tor browser https://www.torproject.org/download/
2 - go to one of these links above
hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.omon
hxxx://vanhelqmjstkvlhrjw2gjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion
hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion
hxxx://vanheltarnbfjhuvggbncniap56dscnz25yf6yjmxqivqmb5r2gmllad.onion
3 - you will be asked for your ticket id to enter the chat this for you : TICKET ID 775657536187154*****
usefull links :
#OUR TOR BLOG :
hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion
hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sulaad.onion
hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23qqotyr3y72yd.onion


Заменяет обои Рабочего стола следующим изображением: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности о шифровании
Вымогатель содержит открытый ключ Curve25519, встроенный в код. Для каждого зашифрованного файла генерируются два случайных эфемерных значения размером 32 байта и 12 байт, которые используются в качестве ключа и разового номера для шифрования файлов с помощью алгоритма ChaCha20. Они, в свою очередь, шифруются с помощью открытого ключа, а результат форматируется в шестнадцатеричный формат для хранения в файле. Если размер файла около 1 ГБ (0x3E800000 байт) или больше, программа-вымогатель зашифрует только первые 30% содержимого файла, начиная с самого начала. Если размер файла меньше, будет зашифрован весь файл. Содержимое шифруется фрагментами размером около 1 МБ (0x100000 байт).

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список папок, пропускаемых при шифровании:

$Recycle.Bin, $RECYCLE.BIN, all users, Boot, default, intel, microsoft, msocache, perflogs, program files, program files(x86), System Volume Information, temp, thumb, tmp, tor browser, Trend Micro, Windows, windows, winnt

Список файлов, пропускаемых при шифровании:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, d3d9caps.dat, desktop.ini, GDIPFONTCACHEV1.DAT, iconcache.db, LOGS.txt, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, README.txt, thumbs.db

Список расширений файлов, пропускаемых при шифровании:

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .syss, .theme, .themepack, .vanlocker, .wpx

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

vhlocker.png - изображения для замены обоев Рабочего стола; 

1-locker.pdb - файл проекта вредоносного файла; 
vanlocker.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\VanHelsing

Сетевые подключения и связи:

Чаты на сайте в сети Tor: 

hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.onion

hxxx://vanhelqmjstkvlhrjwzgjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion

hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion

hxxx://vanheltarnbfjhuvggbncniap56dscnzz5yf6yjmxqivqmb5r2gmllad.onion

Блоги на сайте в сети Tor:  

hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion

hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sukzad.onion

hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23ggotyr3y72yd.onion

Email: -
BTC: bc1qw92kdpnedjd037lxej9q9336y05v7gql0u4qcv

BTC: bc1q0cuvj9eglxk43v9mqmyjzzh6m8qsvsanedwrru

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5c254d25751269892b6f02d6c6384aef 

SHA-1: 79106dd259ba5343202c2f669a0a61b10adfadff 

SHA-256: 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17 

Vhash: 016056655d65556048z8a1z23z5045z4011z45zd7z 

Imphash: e870a99add7c0b9f65f6f1716f8997a3

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3e063dc0de937df5841cb9c2ff3e4651 

SHA-1: e683bfaeb1a695ff9ef1759cf1944fa3bb3b6948 

SHA-256: 99959c5141f62d4fbb60efdc05260b6e956651963d29c36845f435815062fd98 

Vhash: 075056655d75556048z811z2dz43z45zd7z 

Imphash: 9951b4b852f8bee5d019bc23e6ac6bd6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 mrglwglwgl, JAMESWT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.