Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 марта 2025 г.

Vico, Miokawa

Vico Ransomware

Miokawa Ransomware

Moroccan Dragons Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Vico, Miokawa Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 1.103301 Monero (XMR) = 230 US Dollar, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41761, 
Trojan.Encoder.41762, Trojan.Encoder.41780
BitDefender -> Trojan.GenericKD.76001685, Trojan.GenericKD.76003149
ESET-NOD32 -> A Variant Of Win64/Filecoder.TQ
Kaspersky -> Trojan.Win64.Agentb.lcgx, Trojan-Ransom.Win64.Agent.dya
Malwarebytes -> Ransom.Vico
Microsoft -> Trojan:Win32/FileCoder!rfn, Trojan:Win32/FileCoder!rfn
Rising -> Ransom.Agent!1.129CD (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c31435, Malware.Win32.Gencirc.10c314b0
TrendMicro -> Ransom.Win64.DRACOVICO.SM
---

© Генеалогия: родство выясняется >> 
Vico, Miokawa 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vico

Записка с требованием выкупа называется: case_id.txt

Vico, Miokawa Ransomware note, записка о выкупе

Vico, Miokawa Ransomware note, записка о выкупе


Содержание записки о выкупе:

Case ID: 5XA6IN
## ⚠️ YOUR FILES HAVE BEEN ENCRYPTED ⚠️
Your important files have been **encrypted** by **Moroccan Dragons** using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.
### What Happened?
We have locked your files with a unique encryption algorithm.
Decryption is **impossible** without the corresponding private key.
### How to Recover Your Files?
To restore access, you must pay **1.103301 Monero (XMR) [230 US Dollar]** to our secure wallet:
💰 **Payment Amount:** 1.103301
📥 **Monero Wallet Address:** [Monero Address]
### After Payment:
1. Send proof of payment along with your **Case ID** to our email: **[Contact Email]**
2. Our system will verify the transaction.
3. We will provide the **decryption software** and **unique key** to unlock your files.
### IMPORTANT WARNINGS:
⏳ **You have 48H to pay** before the price **doubles**.
🚨 If you fail to pay within **48H**, your files will be **permanently lost**.
❌ Attempting manual recovery or using third-party tools **will corrupt your data**.
🚫 Do not contact authorities—they cannot help you, and failure to comply will result in total data loss.
### How to Pay?
1. Buy **Monero (XMR)** from a cryptocurrency exchange (Binance, Kraken, etc.).
2. Transfer the required amount to our wallet address.
3. Email proof of payment and your **Case ID**, and we will handle the rest.
🔒 **Your files are locked. The choice is yours. Act now before it's too late.**



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, кроме тех, что находятся в списках игнорируемых. 

Список игнорируемых типов файлов (список расширений):
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx

Список игнорируемых директорий (папок):
$recycle.bin, $windows.~bt, $windows.~ws, all users, boot, config.msi, default, intel, microsoft, msocache, perflogs, program files, program files (x86), programdata, public, system volume information, tor browser, windows, windows.old, x64dbg

Список игнорируемых файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat

Файлы, связанные с этим Ransomware:
case_id.txt - название файла с требованием выкупа;
澪川勒索病毒.exe (Miokawa.exe) - название вредоносного файла;
system_processor.exe - название вредоносного файла;
<other_names>.exe - другие названия вредоносных файлов; 
<random>.exe - случайное название вредоносного файла.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: hxxxs://api.telegram.org/bot7618532177
Email: -
Monero (XMR)
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR
MD5: d6778845fbe182bcea336e6a905f954d 
SHA-1: ec4328e8e761a1a1915a5fb5ccc85c2f04e4b141 
SHA-256: 2e741ba375523e582c98eb3a42c602f0d38035d358b5787a218fe25a96ad6e12 
Vhash: 0151476d1555151c0d1d1az15hz1bz17z 
Imphash: 1ebbc6e085e9838d86a03ff526210c99
---
IOC: VT, HA, IA, TGAR
MD5: 7888aeae64dc6feca0b65fc3ba12ed93 
SHA-1: 10fe7c277984928ae4d9e033aa19a6c98198b9c0 
SHA-256: dfab719b8ac43ff2f8a10aea5e04fd4eb273f6cdcea11c610aa68d1c3f6f989d 
Vhash: 0151476d1555151c0d1d1az14hz1lz 
Imphash: 78247129dd1d74a74e3a920630461103

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще образцы:
IOC: VT: 
8f0da65b1714819a26b959b6530cc576
a679f50b756868de0715a7f4aac2348f
678de1a01191c2d3d319cf2730baf560
2c98a0e3c437a617593851697a77fc77



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: Yogesh Londhe, JAMESWT, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *