HexaLocker Ransomware
HexaLocker-2 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.42018
BitDefender -> Trojan.Generic.37935679, Trojan.Generic.37936129
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.HexaLocker
Microsoft -> Ransom:Win64/Prince.YAC!MTB
Rising -> Ransom.Prince!8.1CBA5 (CLOUD), Ransom.Prince!1.12CA4 (CLASSIC)
Tencent -> Win64.Trojan-Ransom.Generic.Bujl, Win64.Trojan-Ransom.Generic.Rsmw
TrendMicro -> Ransom_Prince.R023C0DDR25, Ransom_Prince.R002C0DDR25
---
© Генеалогия: Prince >> HexaLocker, CyberVolk (hackerk4)
Предыдущий вариант Prince Ransomware известен с 2024 г.
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была замечена в середине апреля 2025 г., но он был известен уже с января 2025. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .hexalocker
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Смотрите на скриншотах выше.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
HexaLocker.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Смотрите на скриншотах выше.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
HexaLocker.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
URL: hxxxs://hexalocker.xyz/
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 864fa3005ceccd9b24579902805c40fa
SHA-1: 86a3aa9dcf8b0c84df0cd0757c00d6fb3a93c58c
SHA-256: 7e78a696e26b016a31b5ecb3bee9c123e92a3f05ce74044bbc718a581b5deca8
Vhash: 056086655d55551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
---
MD5: 0835c8f608a2b9b42bf13fc2d4d53ffe
SHA-1: 26608038eac9c600f8cdb05f7663127aafe047fc
SHA-256: e508a3953481c63f041721513e9f09bb8c9818cb9b24dcdfe186bc36ca8f84e1
Vhash: 056086655d55551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Prince Ransomware - июль-ноябрь 2014
HexaLocker Ransomware - январь 2025 или раньше
HexaLocker-2 Ransomware - апрель 2025 или раньше
CyberVolk Ransomware (hackerk4) - вариант июня 2025
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: S!Ri, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.