Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 марта 2025 г.

Vico, Miokawa

Vico Ransomware

Miokawa Ransomware

Moroccan Dragons Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Vico, Miokawa Ransomware

 Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 1.103301 Monero (XMR) = 230 US Dollar, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.41761, Trojan.Encoder.41762, Trojan.Encoder.41780
BitDefender -> Trojan.GenericKD.76001685, Trojan.GenericKD.76003149
ESET-NOD32 -> A Variant Of Win64/Filecoder.TQ
Kaspersky -> Trojan.Win64.Agentb.lcgx, Trojan-Ransom.Win64.Agent.dya
Malwarebytes -> Ransom.Vico
 Microsoft -> Trojan:Win32/FileCoder!rfn, Trojan:Win32/FileCoder!rfn
Rising -> Ransom.Agent!1.129CD (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c31435, Malware.Win32.Gencirc.10c314b0
TrendMicro -> Ransom.Win64.DRACOVICO.SM
---
© Генеалогия: родство выясняется >> Vico, Miokawa 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vico

 Записка с требованием выкупа называется: case_id.txt
Vico, Miokawa Ransomware note, записка о выкупе

Vico, Miokawa Ransomware note, записка о выкупе


Содержание записки о выкупе:
Case ID: 5XA6IN
## ⚠️ YOUR FILES HAVE BEEN ENCRYPTED ⚠️
Your important files have been **encrypted** by **Moroccan Dragons** using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.
### What Happened?
We have locked your files with a unique encryption algorithm.
Decryption is **impossible** without the corresponding private key.
### How to Recover Your Files?
To restore access, you must pay **1.103301 Monero (XMR) [230 US Dollar]** to our secure wallet:
💰 **Payment Amount:** 1.103301
📥 **Monero Wallet Address:** [Monero Address]
### After Payment:
1. Send proof of payment along with your **Case ID** to our email: **[Contact Email]**
2. Our system will verify the transaction.
3. We will provide the **decryption software** and **unique key** to unlock your files.
### IMPORTANT WARNINGS:
⏳ **You have 48H to pay** before the price **doubles**.
🚨 If you fail to pay within **48H**, your files will be **permanently lost**.
❌ Attempting manual recovery or using third-party tools **will corrupt your data**.
🚫 Do not contact authorities—they cannot help you, and failure to comply will result in total data loss.
### How to Pay?
1. Buy **Monero (XMR)** from a cryptocurrency exchange (Binance, Kraken, etc.).
2. Transfer the required amount to our wallet address.
3. Email proof of payment and your **Case ID**, and we will handle the rest.
🔒 **Your files are locked. The choice is yours. Act now before it's too late.**



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, кроме тех, что находятся в списках игнорируемых. 

Список игнорируемых типов файлов (список расширений):
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx

Список игнорируемых директорий (папок):
$recycle.bin, $windows.~bt, $windows.~ws, all users, boot, config.msi, default, intel, microsoft, msocache, perflogs, program files, program files (x86), programdata, public, system volume information, tor browser, windows, windows.old, x64dbg

Список игнорируемых файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat

 Файлы, связанные с этим Ransomware:
case_id.txt - название файла с требованием выкупа;
澪川勒索病毒.exe (Miokawa.exe) - название вредоносного файла;
system_processor.exe - название вредоносного файла;
<other_names>.exe - другие названия вредоносных файлов; 
<random>.exe - случайное название вредоносного файла.  

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Telegram: hxxxs://api.telegram.org/bot7618532177
Email: -
Monero (XMR)
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR
MD5: d6778845fbe182bcea336e6a905f954d 
SHA-1: ec4328e8e761a1a1915a5fb5ccc85c2f04e4b141 
SHA-256: 2e741ba375523e582c98eb3a42c602f0d38035d358b5787a218fe25a96ad6e12 
Vhash: 0151476d1555151c0d1d1az15hz1bz17z 
Imphash: 1ebbc6e085e9838d86a03ff526210c99
---
IOC: VT, HA, IA, TGAR
MD5: 7888aeae64dc6feca0b65fc3ba12ed93 
SHA-1: 10fe7c277984928ae4d9e033aa19a6c98198b9c0 
SHA-256: dfab719b8ac43ff2f8a10aea5e04fd4eb273f6cdcea11c610aa68d1c3f6f989d 
Vhash: 0151476d1555151c0d1d1az14hz1lz 
Imphash: 78247129dd1d74a74e3a920630461103

 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Еще образцы:
IOC: VT: 
8f0da65b1714819a26b959b6530cc576
a679f50b756868de0715a7f4aac2348f
678de1a01191c2d3d319cf2730baf560
2c98a0e3c437a617593851697a77fc77
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Yogesh Londhe, JAMESWT, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Подписаться на: Комментарии к сообщению (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *