FXLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Symantec -> Infostealer
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl
TrendMicro -> TROJ_GEN.R002H09BJ25
---
© Генеалогия: родство выясняется >> FXLocker
---
© Генеалогия: родство выясняется >> FXLocker
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа написана на экране блокировки:
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -
Записка с требованием выкупа написана на экране блокировки:
Содержание записки о выкупе:
[NOTICE]
Your system has been encrypted by FXLocker.
Please follow the payment instructions to recover your files.
[INSTRUCTIONS]
1. Payment amount: 0.69135 BTC
2. Bitcoin Address: 1FxABAd2
3. Payment Deadline: 2025-02-10
Contact Support with your Reference ID to obtain the decryption keys.
[INFORMATION]
Reference ID: F5XCCBUPRKGJ0***
[WARNINGS]
- Do not rename encrypted files; this can prevent decryption.
- Failing to complete payment within the deadline may lead to permanent data loss.
- Failing to complete payment within the deadline may lead to permanent data loss.
[CONTACT SUPPORT]
haxcn@proton.me, wikicn@proton.me
[NOTICE]
You have until 2025-02-10 to complete the payment. Failure to comply will result in the permanent loss of your files.
***
Перевод записки на русский язык:
[УВЕДОМЛЕНИЕ]
Ваша система зашифрована FXLocker.
Следуйте инструкциям по оплате, чтобы восстановить файлы.
[ИНСТРУКЦИИ]
1. Сумма платежа: 0.69135 BTC
2. Адрес Bitcoin: 1FxABAd2
3. Крайний срок оплаты: 2025-02-10
Свяжитесь со службой поддержки, указав свой Reference ID, чтобы получить ключи расшифровки.
[ИНФОРМАЦИЯ]
Идентификатор ссылки: F5XCCBUPRKGJ0***
[ПРЕДУПРЕЖДЕНИЯ]
- Не переименовывайте зашифрованные файлы; это может помешать расшифровке.
- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.
- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.
[СВЯЖИТЕСЬ СО СЛУЖБОЙ ПОДДЕРЖКИ]
haxcn@proton.me, wikicn@proton.me
[УВЕДОМЛЕНИЕ]
У вас есть время до 2025-02-10, чтобы завершить платеж. Несоблюдение приведет к безвозвратной потере ваших файлов.
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: d8889f10a8a0dda44817a2bfbd0ca237
SHA-1: 8b7672496f45432a48b8d307e08855ca9e40da7b
SHA-256: 1c716742fa1712562e2d6275a68a8d2e73bd910bff417072259bb164f2628863
Vhash: 027066655d1555755048z6bnzefz
Imphash: a06f302f71edd380da3d5bf4a6d94ebd
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: fbgwls245 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.