RALord Ransomware
RA Lord Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41858
BitDefender -> Trojan.GenericKD.76134943
ESET-NOD32 -> A Variant Of Win64/Filecoder.UI
Kaspersky -> Trojan-Ransom.Win64.Agent.dyk
Malwarebytes -> Ransom.RALord
Microsoft -> Trojan:Win64/RALord.SACR!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Zmhl
TrendMicro -> Ransom.Win64.RALORD.THCBFBE
---
© Генеалогия: родство выясняется >> RALord
Обнаружения:
DrWeb -> Trojan.Encoder.41858
BitDefender -> Trojan.GenericKD.76134943
ESET-NOD32 -> A Variant Of Win64/Filecoder.UI
Kaspersky -> Trojan-Ransom.Win64.Agent.dyk
Malwarebytes -> Ransom.RALord
Microsoft -> Trojan:Win64/RALord.SACR!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Zmhl
TrendMicro -> Ransom.Win64.RALORD.THCBFBE
---
© Генеалогия: родство выясняется >> RALord
Активность этого крипто-вымогателя была в конце марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .RALord
Записка с требованием выкупа называется по шаблону: README-<random_string>.txt
Примеры:
Записка с требованием выкупа называется по шаблону: README-<random_string>.txt
Примеры:
README-HB0bIFAoVfPN.txt
README-vuy2vCrkvO1y.txt
--- RALord ransomware ---
-> Hello , without any problems , if you see this Readme its mean you under controll by RLord ransomware , the data has been stolen and everything done , but
-> you can recover the files by contact us and pay the ransom , the data taken from this device or network have crenditals and your systeminfo too , without talk about files
-> also , we will provide report with hack operation and how to fix errors and up your security
»> contact us here :
-> qtoxID: 0C8E5B45C57AE***
»> important notes :
-> please do not touch the files becouse we can't decrypt it if you touch it
-> please contact us today becouse the leak operation should start
-> in nigotable please make sure to accept our rules, its easy
>>> our websites :
-> mirror 1 : ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion
-> mirror 2 : ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion
-> mirror 3 : ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj21aiuuid.onion
-> to enter this URLs you need to download tor : https://www.torproject.org/download/
--- RALord ransomware ---
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README-<random_string>.txt - название файла с требованием выкупа;
google.exe, updater.exe - названия вредоносных файлов.
Скриншот из кода RALord Ransomware:
C:\Program Files\Google3968_50907878\bin\updater.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL:
hxxx://ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion
hxxx://ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion
hxxx://ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj2laiuuid.onion
qTOX:
8E9A6195A769FE7115F087C61D75CF32874C339B3AB0947D07480C9A8A12DA5009151BE6A51F
0C8E5B45C57AE244E9C904C5BC74F73306937469D9CEA22541CA69AC162B8D42A20F4C0382AC
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
MD5: be15f62d14d1cbe2aecce8396f4c6289
SHA-1: e9cced71d31937d75edac3fceee1d21e46cd5351
SHA-256: 456b9adaabae9f3dce2207aa71410987f0a571cd8c11f2e7b41468501a863606
Vhash: 035056655d15555018z383z3@z
Imphash: e2137755f1a3df73f14b0df970d5dc94
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Gameel Ali, S!Ri, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.