Mamona

Mamona Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать в чат сайта вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41843
BitDefender -> Gen:Trojan.Heur3.LPT.lyW@aittNXfab
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Malware.Win32.Gencirc.10c352d7
TrendMicro -> Ransom.Win32.MAMONA.THCBOBE
---

© Генеалогия: родство выясняется >> Mamona

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HAes

Записка с требованием выкупа называется: README.HAes.txt

Содержание записки о выкупе:

~~Mamona, R.I.P!~~

Welcome!

Visit our blog --> hxxx://owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat —> bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion/victim-chat/s630fx3eow8u

Password —>

As you may have noticed by now, all of your files were encrypted & stolen.

[What happened?]

-> We have stolen a significant amount of your important files from your network and stored them on our servers.

-> Additionally, all files are encrypted, making them inaccessible without our decryption tool.

[What can you do?]

--> You have two options:

--> 1. Pay us for the decryption tool, and:

--> - You can decrypt all your files.

--> - Stolen data will be deleted from our servers.|

--> - You will receive a report detailing how we accessed your network and security recommendations.

--> - We will stop targeting your company.

--> 2. Refuse to pay and:

--> - Your stolen data will be published publicly.

--> - Your files will remain locked.

--> - Your reputation will be damaged, and you may face legal and financial consequences.

--> - We may continue targeting your company.

[Warnings]

--> Do not alter your files in any way. If you do, the decryption tool will not work, and you will lose access permanently.

--> Do not contact law enforcement. If you do, your data will be exposed immediately.

--> Do not hire a recovery company. Decrypting these files without our tool is impossible. Each file is encrypted with a unique key, and you need our tool to decrypt them.

Заменяет обои Рабочего стола изображением с чёрным фоном и  информационной надписью. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.HAes.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

Blog: owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat: bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0f6d6ef9b82ece9dbbdc711ac00b5e6a 

SHA-1: 15ca8d66aa1404edaa176ccd815c57effea7ed2f 

SHA-256: c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7 

Vhash: 015066655d1d05651148z641z204hz15z37z 

Imphash: bea0fe4f47a3540e17a85006a21d644c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.