HexaCrypt

HexaCrypt Ransomware

Variants: Qilra, Lyrix

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп 450$ в BTC, чтобы вернуть файлы. Оригинальное название: HexaCrypt. На файле написано: Encryptor.exe. Написан на языке программирования Python. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> ***
ESET-NOD32 -> Python/Filecoder.ASO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Trojan.Gen.MBT

Tencent -> Malware.Win32.Gencirc.146dc99a
TrendMicro -> ***
---

© Генеалогия: предыдущие Python-based >> HexaCrypt > Qilra, Lyrix 

Сайт "ID Ransomware" HexaCrypt пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была с начала апреля 2025 года и продолжилась в мае 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>

Пример такого расширения: .5s48uq85

Записка с требованием выкупа называется: 5s48uq85.READ_ME.txt

Содержание записки о выкупе:

All of your important files have been encrypted and stolen and only we can decrypt your files.

If you refuse to cooperate, your decryption software will be permanently deleted, and your stolen files will be published publicly.

Send 450$ worth of btc to this bitcoin wallet:

bc1qgngtzxgt3vcgx7andf12temn3vt4unf51mcqkj

contact us:

hexacryptsupport@proton.me

How Can You Trust Us?

If we do not provide the decryption tool after payment, no one will ever trust us again.

We rely on our reputation.

To prove we can decrypt your files, you can send us 1 encrypted file.

You have 72 hours to pay and contact us.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
5s48uq85.READ_ME.txt - название файла с требованием выкупа;

5s48uq85.key - специальный файл с ключом; 
Encryptor.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hexacryptsupport@proton.me
BTC: bc1qgngtzxgt3vcgx7andf12temn3vt4unf51mcqkj

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8b4093d5ef20a3d7af5373e26ee4476a 

SHA-1: ad5560464e835e1ca1d7315cb81dc474c21ebe1f 

SHA-256: 02d55ad4a7e9e85cdbcb5607f22c9efc7f8002d574865b5aa6e52ba125645292 

Vhash: 018076655d155d0555504013z3006dmz1cfz 

Imphash: 965e162fe6366ee377aa9bc80bdd5c65

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 16 апреля 2025:

Сообщение >>

Доп. название: Qilra Ransomware

Расширение: .qilra

Записка: RESTORE-MY-FILES.TXT

Файл: Encryptor.exe

IOC: VT, IA, TG

MD5: 4c07281ece66837c62f8fabb90d3ccf3 

SHA-1: 8f3417fe23ccc425e9d8a5016cf2008f5111b086 

SHA-256: ad8fe4b7ffc6e6109fc5da540bf3a84819288b186a8bbb383405ba384a6d8aba 

Vhash: 027076655d155d0555504013z3006dmz1cfz 

Imphash: 965e162fe6366ee377aa9bc80bdd5c65

---

Обнаружения: 

DrWeb -> Python.Encoder.242

BitDefender -> Gen:Variant.Ransom.Qilra.1

ESET-NOD32 -> A Variant Of Generik.GGJIXWZ

Kaspersky -> Trojan-Ransom.Win32.Encoder.acun

Malwarebytes -> Ransom.Filecoder.Python

Microsoft -> Trojan:Win32/Egairtigado!rfn

Tencent -> Win32.Trojan-Ransom.Encoder.Uimw

TrendMicro -> TROJ_GEN.R002H0CDP25

Вариант от 30 апреля 2025:

Доп. название: Lyrix Ransomware

Сообщение >>

Расширение: .<random>

Пример расширения: .JjYuSmWeQQ

Записка: README.txt

Email: TDVP7boZDZDE4GYWA3qW@protonmail.com

Файл: Encryptor.exe

IOC: TV, IA, TG

MD5: 72a8f2c6e5628f5e8e3c4dc7dcdb93cb 

SHA-1: 2f45c203896790be01b132b0e3d5c5c5c27f0bc4 

SHA-256: 77706303f801496d82f83189beff412d83a362f017cadecc7a3e349a699ce458 

Vhash: 027076655d155d05155048z6dnzefz 

Imphash: 33742414196e45b8b306a928e178f844

---

Обнаружения: 

DrWeb -> Trojan.Encoder.42101

BitDefender -> QD:Trojan.Astraea.9791D120A4

ESET-NOD32 -> Python/Filecoder.AYP

Kaspersky -> Trojan-Ransom.Win32.Encoder.acyc

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Trojan:Win32/Egairtigado!rfn

Tencent -> Win32.Trojan-Ransom.Encoder.Pqil

TrendMicro -> TROJ_GEN.R002H09E625

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.