Doglun Ransomware
D0glun 4.0 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41805
BitDefender -> Application.Generic.3889144
ESET-NOD32 -> ESET-NOD32
A Variant Of Win32/Packed.NoobyProtect.G Suspicious
Kaspersky -> Trojan-Ransom.Win32.Encoder.abzjMalwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/Cryptolocker!rfn
Rising -> Trojan.Kryptik@AI.94 (RDML:fhuyHlTk41ds0IP4+Zv
Tencent -> Malware.Win32.Gencirc.10c0c153
TrendMicro -> ***
---
© Генеалогия: родство выясняется >>
Образец этого крипто-вымогателя был обнаружен в конце января 2025 г. Ориентирован на китайских пользователей, может распространяться по всему миру. Пока ничего неизвестно о распространении, может быть тестовым вариантом.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола.
Содержание текста о выкупе:
Перевод текста на английский язык:
Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;
Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола.
Содержание текста о выкупе:
你的文件已被加密
我的电脑出了什么问题?
您的电脑部分文件被我加密保存了
文件类型有 zip|rar|png|jpg|txt|mp4 等等各种常见文档文件
----------------------------------------------------------
在未解密前,请勿尝试任何杀毒软件,否则我无法保证你的文件安全
-------------------------------------------
我该如何恢复我的重要文件?
-----------------------------
请下载Tor浏览器,在你的右边
然后访问以下地址
33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion
寻求帮助
这是我的BTC收款地址
1MJJVws3HccTGd14CV3qX21G7gzcJj77UH
Перевод текста на английский язык:
Your files have been encrypted
What's wrong with my computer?
Some of your computer files have been encrypted and saved by me
File types include zip|rar|png|jpg|txt|mp4 and other common document files
----------------------------------------------------------
Before decryption, please do not try any antivirus software, otherwise I cannot guarantee the safety of your files
-------------------------------------------
How can I recover my important files?
-----------------------------
Please download Tor browser, on your right
Then visit the following address
33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion
Ask for help
This is my BTC payment address
1MJJVws3HccTGd14CV3qX21G7gzcJj77UH
Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;
yyy.png - файл изображения, загружаемый онлайн;
@d0glun2@.bmp, @Main wallpaper.bmp - файлы изображений для замены обоев Рабочего стола;
@D0GLUN@.exe, file.exe - названия вредоносных файлов;
@D0GLUN@.exe, file.exe - названия вредоносных файлов;
1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0.exe - случайное название вредоносного файла;
0nion@δ¨&.exe - название вредоносного файла;
0nion@¿Î´¨&.txt - файл с информацией;
1.@d0glun@.key - файл с информацией;
2.@d0glun@.key - файл с информацией;
3.@d0glun@.key - файл с информацией;
4.@d0glun@.key - файл с информацией;
5.@d0glun@.key - файл с информацией;
6.@d0glun@.key - файл с информацией;
7.@d0glun@.key - файл с информацией;
finances.doc, report.pdf, time 2025Äê1ÔÂ27ÈÕ10ʱ25·Ö48Ãë.txt - другие файлы с информацией;
2.txt.0nion@¿Î´¨&, 3.zip.0nion@¿Î´¨&, lnk.0nion@¿Î´¨& - другие файлы;
@D0GLUN@.KEY.VBS - файл скрипта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\@D0GLUN@.exe
C:\@Main wallpaper.bmp
C:\@d0glun2@.bmp
C:\Users\user\Desktop\file.exe
xxxx://www.pcbug.top/yyy.png
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion
Email: -
BTC: 1MJJVws3HccTGd14CV3qX21G7gzcJj77UH
BTC: 1MJJVws3HccTGd14CV3qX21G7gzcJj77UH
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: ea128897b942f50524dee89eaa28602e
SHA-1: 60b79bfdc7e8ff357a95ce0e5d18d7e69ecefedb
SHA-256: 1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0
Vhash: 03605f7e7d1d1570101011z11z1015z101013z13z11z101017z
Imphash: c62b27424960b7afa2f377b70e536277
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: fbgwls245 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.