LCryptorX Ransomware
LCryX Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Siggen31.19238
BitDefender -> Generic.Ransom.Python.O.55C9821E
ESET-NOD32 -> VBS/Agent.TAO
Kaspersky -> HEUR:Trojan-Dropper.Script.Generic
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Downloader.Agent/VBS!1.A537 (CLASSIC)
Tencent -> Script.Trojan-Dropper.Generic.Ytjl
TrendMicro -> Possible_VBSCRDLX-b
---
© Генеалогия: родство выясняется >> LCryptorX
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале мая 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .lcryx
Записка с требованием выкупа называется: READMEPLEASE.txt
Содержание записки о выкупе:
Другим информатор жертвы является изображение, заменяющее обои Рабочего стола с дублирующим текстом, в котором, кроме того, указан BTC-адрес вымогателей:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READMEPLEASE.txt - название файла с требованием выкупа;
LCrypt0rX.vbs - основной вредоносный файл;
Записка с требованием выкупа называется: READMEPLEASE.txt
Содержание записки о выкупе:
Oops, all of your personal files have been encrypted by LCRYPTORX RANSOMWARE!
In order to recover your files, please visit hxxx://lcryxdecryptor4f6xzyorj9qsb5e.onion/RtuKlm
and pay 1000$ worth of bitcoin within 3 days. Read and follow the instructions properly!
Другим информатор жертвы является изображение, заменяющее обои Рабочего стола с дублирующим текстом, в котором, кроме того, указан BTC-адрес вымогателей:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READMEPLEASE.txt - название файла с требованием выкупа;
LCrypt0rX.vbs - основной вредоносный файл;
7bde840c7e8c36dce4c3bac937bcf39f36a6f118001b406bfbbc25451ce44fb4.vbs - случайное название вредоносного файла;
USB_bridge.vbs - другой вредоносный файл.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://lcryxdecryptor4f6xzyorj9qsb5e.onion/RtuKlm
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://lcryxdecryptor4f6xzyorj9qsb5e.onion/RtuKlm
Email: -
BTC: 5Hkl09PeyuTa8nwc1ryt7EjkANju3hwylop
BTC: 5Hkl09PeyuTa8nwc1ryt7EjkANju3hwylop
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: ce03d8554a2bad706ac9dafddd149e23
SHA-1: d414af7b30105b7845fcfe4360a4ae3b67a8e883
SHA-256: 7bde840c7e8c36dce4c3bac937bcf39f36a6f118001b406bfbbc25451ce44fb4
Vhash: a1225f4f2facb657fae3dea7b38c1d46
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.