Moscovium Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41617
BitDefender -> Trojan.GenericKD.75733035
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BII
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Zchl
TrendMicro -> TROJ_GEN.R023H09B725
---
© Генеалогия: BlackHeart NextGen: BlackDream, BlackLegion и другие >> Moscovium
Сайт "ID Ransomware" Moscovium пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .m0sC0v1um
Записка с требованием выкупа называется: !!!_DECRYPT_INSTRUCTIONS_!!!.txt
Записка с требованием выкупа называется: !!!_DECRYPT_INSTRUCTIONS_!!!.txt
Содержание записки о выкупе:
== YOUR FILES ARE ENCRYPTED ==
Send 0.1 BTC to: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g
Email proof to: m0sc0vlum@tutanota.com
== DO NOT ATTEMPT DECRYPTION YOURSELF ==|
Дополнительно к каждому зашифрованному файлу создается текстовый файл, к имени которого добавляется окончание _KEY.txt
Содержание этого файла:
MOSCOVIUM RANSOMWARE
Send 0.1 BTC to bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g to recover files
Key: UBhyqXCuU0hLEy8LCrbUsoBEbF9d9cpxtEL7vCIq+eE=
IV: 0J4hJwyAylQyPeZXC6b7Tg==
Рабочий стол блокируется, поверх всего встает экран с надписью:
YOUR FILES HAVE BEEN ENCRYPTED BY MOSCOVIUM RANSOMWARE
CHECK DESKTOP FOR RECOVERY INSTRUCTIONS
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!!!_DECRYPT_INSTRUCTIONS_!!!.txt - название файла с требованием выкупа;
31ff48d218e462b4c1f3de03.exe - случайное название вредоносного файла;
main.exe, hxtya.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
main.exe, hxtya.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\vrijbel\hxtya.exe
C:\Users\User\AppData\Local\Temp\31ff48d218e462b4c1f3de03.exe
Информация из кода программы-вымогателя:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0sc0v1um@tutanota.com
BTC: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g
Информация из кода программы-вымогателя:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: m0sc0v1um@tutanota.com
BTC: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 9c30c4744d7d505f5f9a24b6b4c9bebb
SHA-1: a71f4144b6f0a5edffc933e6dd08782cd60e0dc3
SHA-256: 31ff48d218e462b4c1f3de03778c60b99bd1ef0d03a974070abb056138a1754b
Vhash: 2630365515171z5a0010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: fbgwls245, petik Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.