Vanhelsing

Vanhelsing Ransomware

Vanhelsing Locker Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма шифрования ChaCha20, а затем требует связаться с вымогателями через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Vanhelsing Locker. Написан на языке C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41808
BitDefender -> Trojan.GenericKD.76082499
ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Malware.AI.4195397484
Microsoft -> Ransom:Win32/Vanhelsing.DA!MTB
Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c34a3b
TrendMicro -> Ransom.Win32.VANHELSIN.THCAGBE
---

BitDefender -> Trojan.GenericKD.76090600

ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Trojan:Win32/Znyonm!rfn

Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)

Tencent -> Malware.Win32.Gencirc.10c34dde

TrendMicro -> Ransom.Win32.VANHELSIN.THCAHBE

© Генеалогия: родство выясняется >> Vanhelsing

Сайт "ID Ransomware" идентифицирует Vanhelsing с 25 марта 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале - середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vanhelsing
Также может использоваться расширение: .vanlocker

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
—= No news is a good news ! =—
Your network has been breached and all your files Personal data, financial reports and important documents has been stolen , encrypted and ready to publish to public,
if you willing to continue your bussines and make more money and keep bussines secret safe you need to restore your files first. And to restore all your files you have to pay the ransom in Bitcoin.
don't bother your self and wast your time or make it more harder on your bussines , we developed a locker that can't be decrypted using third part decrypters .
making your self geek and trying to restore the files with third part decrypter this will leads to lose all your date ! and then the even you pay the ransom can't help you to restore your files even us.
to chat with us :
1 - Download tor browser https://www.torproject.org/download/
2 - go to one of these links above
hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.omon
hxxx://vanhelqmjstkvlhrjw2gjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion
hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion
hxxx://vanheltarnbfjhuvggbncniap56dscnz25yf6yjmxqivqmb5r2gmllad.onion
3 - you will be asked for your ticket id to enter the chat this for you : TICKET ID 775657536187154*****
usefull links :
#OUR TOR BLOG :
hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion
hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sulaad.onion
hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23qqotyr3y72yd.onion


Заменяет обои Рабочего стола следующим изображением: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности о шифровании
Вымогатель содержит открытый ключ Curve25519, встроенный в код. Для каждого зашифрованного файла генерируются два случайных эфемерных значения размером 32 байта и 12 байт, которые используются в качестве ключа и разового номера для шифрования файлов с помощью алгоритма ChaCha20. Они, в свою очередь, шифруются с помощью открытого ключа, а результат форматируется в шестнадцатеричный формат для хранения в файле. Если размер файла около 1 ГБ (0x3E800000 байт) или больше, программа-вымогатель зашифрует только первые 30% содержимого файла, начиная с самого начала. Если размер файла меньше, будет зашифрован весь файл. Содержимое шифруется фрагментами размером около 1 МБ (0x100000 байт).

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список папок, пропускаемых при шифровании:

$Recycle.Bin, $RECYCLE.BIN, all users, Boot, default, intel, microsoft, msocache, perflogs, program files, program files(x86), System Volume Information, temp, thumb, tmp, tor browser, Trend Micro, Windows, windows, winnt

Список файлов, пропускаемых при шифровании:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, d3d9caps.dat, desktop.ini, GDIPFONTCACHEV1.DAT, iconcache.db, LOGS.txt, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, README.txt, thumbs.db

Список расширений файлов, пропускаемых при шифровании:

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .syss, .theme, .themepack, .vanlocker, .wpx

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

vhlocker.png - изображения для замены обоев Рабочего стола; 

1-locker.pdb - файл проекта вредоносного файла; 
vanlocker.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\VanHelsing

Сетевые подключения и связи:

Чаты на сайте в сети Tor: 

hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.onion

hxxx://vanhelqmjstkvlhrjwzgjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion

hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion

hxxx://vanheltarnbfjhuvggbncniap56dscnzz5yf6yjmxqivqmb5r2gmllad.onion

Блоги на сайте в сети Tor:  

hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion

hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sukzad.onion

hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23ggotyr3y72yd.onion

Email: -
BTC: bc1qw92kdpnedjd037lxej9q9336y05v7gql0u4qcv

BTC: bc1q0cuvj9eglxk43v9mqmyjzzh6m8qsvsanedwrru

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5c254d25751269892b6f02d6c6384aef 

SHA-1: 79106dd259ba5343202c2f669a0a61b10adfadff 

SHA-256: 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17 

Vhash: 016056655d65556048z8a1z23z5045z4011z45zd7z 

Imphash: e870a99add7c0b9f65f6f1716f8997a3

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3e063dc0de937df5841cb9c2ff3e4651 

SHA-1: e683bfaeb1a695ff9ef1759cf1944fa3bb3b6948 

SHA-256: 99959c5141f62d4fbb60efdc05260b6e956651963d29c36845f435815062fd98 

Vhash: 075056655d75556048z811z2dz43z45zd7z 

Imphash: 9951b4b852f8bee5d019bc23e6ac6bd6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 mrglwglwgl, JAMESWT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.