SuperBlack

SuperBlack Ransomware

SuperBlack Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через Tox-чат с вымогателями, чтобы узнать, как заплатить выкуп и расшифровать файлы. Оригинальное название, видимо, SuperBlack. На файле написано: нет данных. Также используется вайпер WipeBlack. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31074
BitDefender -> Trojan.GenericKDZ.107474
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Lockbit.Ransom.FileEncryptor.DDS
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
---

© Генеалогия: BlackMatter >> LockBit 3.0 Black (2022) >> CriptomanGizmo > SuperBlack

Сайт "ID Ransomware" может идентифицировать SuperBlack как один из предыдущих вариантов. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2025 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: fB1SZ2i3X.README.txt
Первая часть названия может меняться. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:

- Employees personal data, CVs, DL, SSN.

- Complete network map including credentials for local and remote services.

- Financial information including clients data, bills, budgets, annual reports, bank statements.

- Complete datagrams/schemas/drawings for manufacturing in solidworks format

- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B751D3B2C**********

1)Download and install TOX chat: https://tox.chat

2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.

>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.

>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.

>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

Зашифрованные файлы получают новый характерный значок, обои Рабочего стола заменяются.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fB1SZ2i3X.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: e09dd7cca0c6c147ba21b4062e723c5b 

SHA-1: ff6333bdda824e4c13bcd13351bd4bb14aaeab11 

SHA-256: d9938ac4346d03a07f8ce8b57436e75ba5e936372b9bfd0386f18f6d56902c88 

Vhash: 01506666151d7d7567za1z8nz7fz 

Imphash: 914685b69f2ac2ff61b6b0f1883a054d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Doglun

Doglun Ransomware

Doglun Zero Ransomware

D0glun 4.0-6.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (или комбинации алгоритмов), а затем требует связаться через чат на сайте вымогателей в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Doglun. На файле написано: @D0GLUN@.exe, 澪川 (перевод на нагл. "Mio River"), 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41519, Trojan.Encoder.41805
BitDefender -> Trojan.GenericKD.75468564, Application.Generic.3889144

ESET-NOD32 ->Win32/Filecoder.OBT, A Variant Of Win32/Packed.NoobyProtect.G Suspicious
Kaspersky -> Trojan-Ransom.Win32.Encoder.abxc, Trojan-Ransom.Win32.Encoder.abzj
Malwarebytes -> Ransom.FileCryptor, Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Avaddon!rfn, Ransom:MSIL/Cryptolocker!rfn
Rising -> Trojan.Kryptik@AI.94 (RDML:***)
Tencent -> Malware.Win32.Gencirc.10c10c84, Malware.Win32.Gencirc.10c0c153
TrendMicro -> Ransom.Win32.DOGLUN.A
---

© Генеалогия: родство выясняется >> Doglun > Doglun 4.0 > Doglun 6.0

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в середине — конце января 2025 г. Ориентирован на китайских пользователей, использует китайский текст, может распространяться по всему миру. Пока ничего неизвестно о распространении и о более ранних вариантах. 

К зашифрованным файлам добавляется расширение с использованием оригинального расширения зашифрованного файла, но без точки, например: 

.@D0glun@png

.@D0glun@jpg

.@D0glun@bmp

.@D0glun@docx

.@D0glun@xlsx

.@D0glun@exe

Таким образом шаблон можно записать так: .@D0glun@<original_extension>

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола. 

Содержание текста о выкупе:

你的文件已被加密

我的电脑出了什么问题？

您的电脑部分文件被我加密保存了

文件类型有 zip|rar|png|jpg|txt|mp4 等等各种常见文档文件

----------------------------------------------------------

在未解密前，请勿尝试任何杀毒软件，否则我无法保证你的文件安全

-------------------------------------------

我该如何恢复我的重要文件？

-----------------------------

请下载Tor浏览器，在你的右边

然后访问以下地址

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

寻求帮助

这是我的BTC收款地址

1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

Перевод текста на английский язык:

Your files have been encrypted

What's wrong with my computer?

Some of your computer files have been encrypted and saved by me

File types include zip|rar|png|jpg|txt|mp4 and other common document files

----------------------------------------------------------

Before decryption, please do not try any antivirus software, otherwise I cannot guarantee the safety of your files

-------------------------------------------

How can I recover my important files?

-----------------------------

Please download Tor browser, on your right

Then visit the following address

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Ask for help

This is my BTC payment address

1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;

yyy.png - файл изображения, загружаемый онлайн; 

@d0glun2@.bmp, @Main wallpaper.bmp - файлы изображений для замены обоев Рабочего стола; 
@D0GLUN@.exe, D0glun.exe, file.exe, help.exe - названия вредоносных файлов;

1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0.exe - случайное название вредоносного файла;

0nion@Î´¨&.exe - название вредоносного файла;

0nion@¿Î´¨&.txt - файл с информацией; 

1.@d0glun@.key - файл с информацией; 

2.@d0glun@.key - файл с информацией; 

3.@d0glun@.key - файл с информацией; 

4.@d0glun@.key - файл с информацией; 

5.@d0glun@.key - файл с информацией; 

6.@d0glun@.key - файл с информацией; 

7.@d0glun@.key - файл с информацией; 

1.@d0glun@.vbs - файл скрипта;

finances.doc, report.pdf, time 2025Äê1ÔÂ27ÈÕ10ʱ25·Ö48Ãë.txt - другие файлы с информацией; 

2.txt.0nion@¿Î´¨&, 3.zip.0nion@¿Î´¨&, lnk.0nion@¿Î´¨& - другие файлы;

1.bat, Restart.bat, reg.reg - другие файлы;

zero.ico - файл иконки для диска; 

@D0GLUN@.KEY.VBS - файл скрипта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\@D0GLUN@.exe

C:\@Main wallpaper.bmp

C:\@d0glun2@.bmp

C:\Users\user\Desktop\file.exe

xxxx://www.pcbug.top/yyy.png

C:\@Main wallpaper.bmp.@d0glun@bmp

C:\Windows\1.bat

C:\Windows\reg.reg

C:\zero.ico

Записи реестра, связанные с этим Ransomware:

[HKEY_CLASSES_ROOT\zero_d0glun_jpgfile\DefaultIcon]

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

[HKEY_CLASSES_ROOT\rtffile\DefaultIcon]

[HKEY_CLASSES_ROOT\logfile\DefaultIcon]

[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Email: -
BTC: 1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 845cb027c57783112416a2a32dc87f58 

SHA-1: 44b0add34a5d97cbac2c3a4bc664027af7351ea4 

SHA-256: a8df7571e871d22f13ba3eb376eddd1f73ce241d24caa878494e1805219b342a 

Vhash: 02608e7d6d7d6e7d1d1570602040052008d015z303013z32z9e1za110c7z 

Imphash: 3de460cda2ce2e0b4a9b391562b936c9

---

IOC: VT, HA, IA, TG, AR 

MD5: ea128897b942f50524dee89eaa28602e 

SHA-1: 60b79bfdc7e8ff357a95ce0e5d18d7e69ecefedb 

SHA-256: 1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0 

Vhash: 03605f7e7d1d1570101011z11z1015z101013z13z11z101017z 

Imphash: c62b27424960b7afa2f377b70e536277

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Doglun Ransomware - ???

Doglun 4.0 Ransomware - январь 2025

Doglun 6.0 Ransomware - март 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще один вариант:

Используется шаблон расширения: .@zero_d0glun_<original extension>

Вариант от 12 марта 2025:

Доп. название: D0glun 6.0 Ransomware 

Сообщение >>

C:\Users\Admin\AppData\Local\Temp\Restart.bat

C:\Users\Admin\AppData\Local\Temp\D0GLUN6.0.exe

IOC: VT, IA, TG

MD5: ae7fd46e6ad1b9c11b5d3701ad4509ee 

SHA-1: 37a8c7d8eb861e66dae529d45975b36afc3650dc 

SHA-256: f3f196b264ce23a490f1b8c20176e01027fc735210c13c30e442b2d41a4e5b57 

Vhash: 036046657d5510502040052008d7z3035z32z9e1za110c7z 

Imphash: bb01e2c758bce96ca6e813a4ba1a6db4

➤ Обнаружения: 

DrWeb -> ***

ESET-NOD32 -> A Variant Of Win32/Filecoder.OST

Kaspersky -> HEUR:Trojan.Win32.Ogneglazka.gen

Microsoft -> Ransom:Win32/Avaddon.P!MSR

TrendMicro -> Backdoor.Win32.COBEACON.YXFCLZ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up,  Write-up

 Thanks: 
 dnwls0719, Hyuna Lee, Watchguard, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Aptlock

Aptlock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41488, Trojan.Encoder.41839
BitDefender -> Trojan.GenericKD.75320998, Gen:Variant.Ser.Lazy.8977
ESET-NOD32 -> A Variant Of Win64/Filecoder.Rook.C
Kaspersky -> Trojan.Win32.DelShad.myk
Microsoft -> Ransom:Win64/Rook.GA!MTB
Rising -> Ransom.Rook!8.14807 (CLOUD), Ransom.Aptlock!1.12A51 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c09085, Malware.Win32.Gencirc.1451f743
TrendMicro -> Ransom_Rook.R032C0DAG25, Ransom_Rook.R002C0DCJ25
---

© Генеалогия: родство выясняется >> Aptlock

Сайт "ID Ransomware" Aptlock пока не идентифицирует. 

Информация для идентификации

Первый образец этого крипто-вымогателя был обнаружен в начале января 2025 года, второй — в марте 2025 г., хотя они оказались одинаковыми по функционалу. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .aptlock

Записка с требованием выкупа называется: read_me_to_access.txt

Содержание записки о выкупе:

Hello

Data at the main critical points of your network has been compromised, and all of your company's critical data has been transferred to our servers.

  Good news:

- We can restore 100% of your systems and data.

- If we agree, only you and our team will know about this breach.

Rules:

1. Contact us within 72 hours, or we’ll release your data and destroy the recovery tool.

2. You have 5 days to reach an agreement, or we’ll publish the data and destroy the recovery tool.

3. Payment is based on data size and revenue.

Now, in order to start negotiations, you need to do the following:

- download the Tor Browser using their official website: https://www.torproject.org/

- use these credentials to enter the Chat for text negotiation: hxxx://pe24iyzo2n5rbvqqnizrec57s2wstqcokf6vxmzfivpxu235fyzeqead.onion/mwc7kMilENMk4j1gDpnLjq9eYRioDj

We all understand what happened and what consequences await you.

You can seek recovery assistance in negotiations, but unfortunately, the percentage of successfully concluded negotiations with recovery assistance decreases every day

because it's your money and your fines. They care little about it.

Our motivation is purely financial; we do not associate ourselves with any country or politics.

What we offer in exchange for your payment:

   1) Decryption and restoration of all your systems and data within 24 hours with a 100% guarantee;

   2) Never inform anyone about the data leak from your company;

   3) After decrypting the data and restoring the system, we will permanently delete all your data from our servers;

   4) Provide valuable advice on protecting your company's IT to prevent future attacks.

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it.

Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.

Nothing personal, just business

Записка с требованием выкупа написана на экране блокировки: 

Содержание текста на изображении:
Вероятно аналогичное тому, что в записке. 



✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки системы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_to_access.txt - название файла с требованием выкупа;
readme.bmp - изображение с текстом записки, заменяющее обои Рабочего стола;

e.exe, ee.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://sr3b2uzrzzubagq64savzjjarul6bacpk6onddobj72gqkdjgm5z4qyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, VMR

MD5: 8040a1a66e9b6cffba01d78b642140ea 

SHA-1: acac5dc3f6140c093e1ebace12f1c8579f8fb3bf 

SHA-256: 5d2597a8a8b8d4d0dfafef02b41d3746bb9a3ccfcacac9a0a8eaec237aa90c1d 

Vhash: 0450766d155515155550a5za00781z23z6035z3031z6fz 

Imphash: d49dc6b823dbc454df9b43c9705cd75d

---

IOC: VT, IA, TG

MD5: e6f28a4f781cacc98ec2e03e684c62da 

SHA-1: 678666316083022c5c8b831f55c6ba52b151b447 

SHA-256: a00021822a02dd5d2fbd348e14902358762378421a6004f26434c4d4aa15fbea 

Vhash: 0450766d155515155550a5za00781z23z6035z3031z6fz 

Imphash: d49dc6b823dbc454df9b43c9705cd75d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyfirma, Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.