Nitrogen Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Nitrogen.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41885, Trojan.Siggen31.25741
BitDefender -> Generic.Trojan.Havokiz.Marte.E.0934A0AB, Generic.Trojan.Havokiz.Marte.E.E44AFFA6
ESET-NOD32 -> A Variant Of Win64/Filecoder.Nitrogen.B, A Variant Of Win64/Filecoder.Nitrogen.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic, Trojan-Ransom.Win64.Agent.dvv
Malwarebytes -> Ransom.Nitrogen, Ransom.FileCryptor
Microsoft -> Trojan:Win64/NightHawk.A!MTB
Rising -> Ransom.Nitrogen!8.1B6EE (TFE:5:1NY***), Ransom.Nitrogen!8.1B6EE (TFE:5:t0L***)
Tencent -> Malware.Win32.Gencirc.146289f3, Malware.Win32.Gencirc.10c057e7
TrendMicro -> TROJ_GEN.R002H01D125, Ransom.Win64.EBANUL.SMYXEF2
---
© Генеалогия: родство выясняется >> Nitrogen
Сайт "ID Ransomware" Nitrogen идентифицирует как Nitrogen Group с 20 августа 2025.
Информация для идентификации
Образец этого крипто-вымогателя был найден в начале апреля 2025 г. Ориентирован на финансовый сектор и англоязычных пользователей, может распространяться по всему миру. По данным, собранным специалистами AnyRun и Symantec, ранняя активность была уже в сентябре 2024 и продолжилась с января 2025.
К зашифрованным файлам добавляется расширение: .NBA
Записка с требованием выкупа называется: readme.txt
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Nitrogen welcome you!
Take this seriously, this is not a joke! Your company network are encrypted and your data has been stolen and downloaded to
our servers. Ignoring this message will result in all your data being published on our blog:
hxxx://nitrogenczslprh3xyw6lh5xyjvmsz7ciljoqxxknd7uymkfetfhgvqd.onion
This problem can be solved:
1. Your network and data can will be restored.
2. Your data is stolen and stored on our server, after receive payment it will be completely removed from our servers.
3. No one is aware about the data leak from your company except you.
If you believe you can handle without us and decrypting your servers and data using some IT Solution from third-party
specialists? They will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only
our Decryption Tool will make decryption guaranteed. Don't go to recovery companies, they are essentially just middlemen who
will make money off you.
If you decide not to negotiate with us and find another solution.
We will make huge damage to your business by using all of our experience to make your partners, clients, employees and whoever
cooperates with your company know about this accident and stop any partnership with you. As a result, You will suffer great
losses and you will must to pay a penalty to the state and to compensate for lawsuits against your company. Also in case of
disclosure of information about a cyber attack and theft of confidential data of your company your assets may fall and it will
cost you several times more expensive instead agreeing with us.
Want to go to Government for protection?
Your address them for help will only make the situation worse. They will try to prevent you from negotiating with us, because
the negotiations will make them look weak and incompetent. After the incident report is handed over to the government
department, you receive get a penalty for this accident and leak personal data. This will be a huge amount, you can read more
about the GDRP legislation: https://en.wikipedia.org/wiki/General_Data_Protection_Regulation/
In this situation you will not be winners anyway.
So lets get straight to the point.
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускает и не шифрует файлы в следующих директориях:
$Recycle.Bin, $RECYCLE.BIN, winnt, temp, tmp, thumb, System volume information, Boots, Windows, Trend Micro, perflogs
Пропускает и не шифрует файлы со следующими расширениями:
.bat, .dll, .exe, .lnk, .msi, .sys
Пропускает и не шифрует файлы:
readme.txt
NBA_LOG.txt
Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
NBA_LOG.txt - файл, создаваемый вредоносной программой;
Globalmedia.exe, program.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
nvxkjcv7yxctvgsdfjhv6esdvsx
Globalmedia.exe, program.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
nvxkjcv7yxctvgsdfjhv6esdvsx
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: nitrogenczslprh3xyw6lh5xyjvmsz7ciljoqxxknd7uymkfetfhgvqd.onion
Сетевые подключения и связи:
Tor-URL: nitrogenczslprh3xyw6lh5xyjvmsz7ciljoqxxknd7uymkfetfhgvqd.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 3139c8e0d0dd9683ebfecdb2e4f1b6bb
SHA-1: 9d8189c1d66154b5f01b307748ba47ea589f91fc
SHA-256: e6a498b89aa04d7c25cbfa96599a4cd9bdcc79e73bf7b09906e5ca85bda2bff6
Vhash: 0160b76d1555555c0d1d10a8z4c491z2bz1021z2fz
Imphash: f7e43e0de1643f36b9466c5cecaec952
---
MD5: b580be9e58374b7c3a1e91922e982d3b
SHA-1: bcb9455f82f17483a625e61b3cb52aa20835dc6e
SHA-256: 55f3725ebe01ea19ca14ab14d747a6975f9a6064ca71345219a14c47c18c88be
Vhash: 0160b76d1555655c0d5d10a8z5f671z2bz1021z3fz
Imphash: eed398c0d818ec981987c713eb811fec
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: S!Ri, petik, AnyRun Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.