PE32

PE32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $500-150000 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Pe32-v4.1.1.vexe. Написан на языке программирования Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41661
BitDefender -> Gen:Variant.Tedy.711790
ESET-NOD32 -> Win64/Filecoder.SW
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Filecoder.PAQ!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0fb51
TrendMicro -> TROJ_FRS.VSNTCD25
---

© Генеалогия: родство выясняется >> PE32

Сайт "ID Ransomware" PE32 пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в январе — мае 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .pe32s

Фактически используется составное расширение по шаблону: 

[filename].[ID].[extension].pe32s

Примеры зашифрованных файлов см. ниже:

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

USER: Armin

Greetings

Your files have been encrypted, and your sensitive data has been exfiltrated.

To unlock your files and prevent public disclosure of data a payment is required.

Please note that cost for file decryption and avoiding data publification is separate.

To establish trust and provide assurance, we offer the following:

A decryption test for a few small files (less than 1-2 MB) that do not contain valuable information.

Screenshot of other customers who have paid and received decryption. For larger payments you may also request information for individuals from your country who have successfully decrypted their data as proof.

Pricing:

Single servers: $700 - $7000

Companies and Multiple Computers: $10,000 to more than 2btc and more, depending on the data size and company.

Delaying contact will increase the cost and make it more difficult for you.

Please reach out to our client via Telegram: @decryptorsupport

in case of no answer:

Mail : bettercallarmin1@gmail.com

Судя по записке о выкупе, новый email-адрес может создаваться под каждую жертву, используя имя пользователя ПК. 


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности о шифровании от экспертов F6:  

Осуществляет шифрование файлов в 3 раунда, чтобы сначала максимально быстро заблокировать данные жертвы (1-й раунд), а затем – максимально усложнить возможность расшифровки и восстановления данных без оплаты выкупа.

При запуске PE32 Ransomware генерирует ключи шифрования AES и данных для получения одноразовых кодов (nonce). Массив ключей в зашифрованном виде содержится в файлах context.pe32c в корне каждого логического диска:

X:\PE32-KEY\context.pe32c

Каждый элемент массива (400 байт) содержит ключ AES (32 байта) и данные для получения "nonce" (368 байт). Ключ AES и данные для получения "nonce" шифруются отдельно.

Для шифрования ключей AES используется алгоритм, ставший ранее победителем конкурса NIST (National Institute of Standards and Technology) на разработку первого стандарта постквантовой криптографии. Данный стандарт получил название ML‑KEM (Module-Lattice-Based Key-Encapsulation Mechanism). Непосредственно в PE32 Ransomware используется алгоритм Kyber1024 (уровень безопасности NIST 5, то есть это почти AES-256). Он предназначен для генерации общего секретного ключа и его безопасного обмена между двумя сторонами. Утверждается, что алгоритмы стандарта ML‑KEM устойчивы к атакам с использованием квантовых технологий.

Данные для получения nonce (368 байт) шифруются с использованием алгоритма классической криптографии RSA-4096.

В файле PE32 Ransomware содержатся публичные ключи RSA-4096 (в формате PEM) и Kyber1024 (1568 байт).

Сообщения дописываются в файл отчета lock.pe32 в зашифрованном виде (AES‑256 CTR), для шифрования сообщений используются также случайно выбранные ключи из массива ключей.

Информация полностью в статье >>

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые при шифровании папки и пути:

Windows

Program Files

AppData

C:\\Program Files\\WindowsApps

C:\\Program Files\\Internet Explorer

C:\\Program Files\\Windows Defender

C:\\Program Files\\Windows Mail

C:\\Program Files\\Windows Media Player

C:\\Program Files\\Windows Photo Viewer

C:\\Program Files\\Windows Portable Devices

C:\\Program Files\\WindowsPowerShell

C:\\Program Files\\Windows Defender Advanced Threat Protection

C:\\Program Files \(x86\)\\Common Files

C:\\Program Files \(x86\)\\WindowsApps

C:\\Program Files \(x86\)\\Internet Explorer

C:\\Program Files \(x86\)\\Windows Defender

C:\\Program Files \(x86\)\\Windows Mail

C:\\Program Files \(x86\)\\Windows Media Player

C:\\Program Files \(x86\)\\Windows Photo Viewer

C:\\Program Files \(x86\)\\Windows Portable Devices

C:\\Program Files \(x86\)\\WindowsPowerShell

C:\\Windows\\System32

C:\\Windows\\SysWOW64

C:\\Windows\\SysWOW64

C:\\Windows\\Fonts

C:\\Windows\\WinSxS

C:\\Windows\\Temp

C:\\Windows\\Logs

C:\\Windows\\servicing

C:\\Windows\\INF

C:\\Windows\\PolicyDefinitions

C:\\Windows\\SoftwareDistribution

C:\\Users\\.*?\\AppData\\Local\\Microsoft

C:\\Users\\.*?\\AppData\\Local\\Packages

C:\\Users\\.*?\\AppData\\LocalLow\\Microsoft

C:\\Users\\.*?\\AppData\\Roaming\\Microsoft

C:\\Users\\.*?\\AppData\\Local\\Temp

C:\\Users\\.*?\\AppData\\Local\\Microsoft\\Windows

Пропускаемые при шифровании файлы с расширениями:

.apk, .bat, .c32, .cmd, .com, .dll, .efi, .exe, .ico, .ini, .lnk, .mbr, .mui, .obj, .pe32c, .pe32f, .pe32s, .ps1, .ps1xml, .psd1, .psm1, .rdp, .sh, .sym, .sys

Файлы, связанные с этим Ransomware:
README.txt - записка о выкупе; 

С:\PE32-KEY\lock.pe32 - файл отчета; 

context.pe32c - название файла, в котором содержится массив ключей в зашифрованном виде;
Pe32-v4.1.1.vexe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

X:\PE32-KEY\context.pe32c

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram-контакты: @decryptorsupport

@Qr_Ati

@Dmc_eze

@data_recovery2025

---

Email: bettercallarmin1@gmail.com

help.file@zohomail.eu

emmo.encrypt@onionmail.org

Datablack0068@cyberfear.com

Datablack0068@gmail.com

data.recovery@onionmail.org

---
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: bedf5eb89d3a15f5474759421aa49e93 

SHA-1: afb3eb9ae040f86dd8381cd54c7cac215beee85b 

SHA-256: e63f9a5b7d0b12c2b58fd9e9c40cb01c8d7cb7f4d70026c6eed871aa060a8c72 

Vhash: 026056655d15555013zb2z623z69z95z15zf7z 

Imphash: 34758d9a7c0a5abe65177cbb34ce9f64

Степень распространённости: средняя.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другие образцы см. по ссылке:

github.com/f6-dfir/Ransomware/tree/main/PE32

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 F6
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.