FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.