Veluth

Veluth Ransomware

Veluth Decrypter 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает связаться с помощью приложения Signal или найти файл VeluthDecrypter на Рабочем столе и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Siggen31.36635 / ***
BitDefender -> Generic.Malware.SPH2.DB1B6F02 / Gen:Variant.Tedy.768861
ESET-NOD32 -> Win64/Filecoder.YD / A Variant Of WinGo/Filecoder.LY
Kaspersky -> HEUR:Trojan.Win32.Generic
Microsoft -> Trojan:Win32/Sabsik.EN.A!ml / Program:Win32/Wacapew.C!ml
Rising -> Ransom.Agent!1.129F5 (CLASSIC) / Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.149499db
TrendMicro -> Trojan.Win32.VSX.PE04C9Z / TROJ_GEN.R002H09F125
---

© Генеалогия: родство выясняется >> Veluth

Сайт "ID Ransomware" Veluth пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце мая 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .veluth

Записка с требованием выкупа называется: !!!READ_ME_VELUTH!!!.txt

Содержание записки о выкупе:

ID: 2Z4NPWQ01IW****

!!! YOUR FILES HAVE BEEN ENCRYPTED BY VELUTH !!!

To recover your data, you must:

1. Contact us via Signal (Available on PlayStore & Apple Store): @Veluth.01

2. Provide your ID shown above

3. Comply with our orders

4. You will receive decryption software after you have maintained our orders

WARNING:

- Do NOT modify encrypted files.

- Do NOT attempt decryption without our tools.

- If you do you your files will be irrecoverable.

- If you don't contact us within 24 hours your files will be encrypted FOREVER.

REMEMBER NO LAW ENFORCEMENT CANT SAVE YOU ONLY WE CAN DECRYPT YOUR FILES!

В аккаунте foss-relations на github.com содержится изображение с информацией для дешифрования. 

Содержание текста на изображении:

Woah! Looks like your shit has been encrypted by Veluth.

To Decrypt your files, Open "VeluthDecrypter" on Desktop or Start Menu.

If you cannot find, the program then your antivirus removed the decrypt software or you deleted it. To restore it please unquarantine it on your antivirus program.

Keep in mind the decryption software is necessary for the file decryption using key.

# QNA on "veluth.readme.txt" .

То есть создатель программы предлагает найти на рабочем столе или в карантине антивируса файл VeluthDecrypter.exe и расшифровать файлы без уплаты выкупа. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

.3GP, .7Z, .AAC, .ABAP, .ACCDB, .ADA, .AES, .AI, .AIFF, .AMR, .APE, .ARC, .AS, .ASC, .ASF, .ASM, .ASP, .AVI, .BACKUP, .BAK, .BASH, .BAT, .BMP, .BRD, .BZ2, .C, .CGM, .CLASS, .CLJ, .CMD, .COB, .CPP, .CR, .CRT, .CS, .CSR, .CSV, .D, .DB, .DBF, .DCH, .DER, .DIF, .DIP, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DWG, .EDB, .EML, .EPS, .EX, .EXS, .F, .F4V, .F90, .F95, .FLA, .FLAC, .FLV, .FRM, .GIF, .GO, .GPG, .GZ, .H, .HEIC, .HPP, .HWP, .HX, .IBD, .ICO, .IPYNB, .ISO, .JAR, .JAVA, .JPEG, .JPG, .JS, .JSP, .JSX, .KEY, .KT, .KTS, .LAY, .LAY6, .LDF, .LSP, .LUA, .LUOP, .LZH, .M, .M2TS, .M4A, .M4V, .MAX, .MDB, .MDF, .MID, .MKV, .ML, .MML, .MOV, .MP3, .MP4, .MPEG, .MPG, .MSG, .MTS, .MYD, .MYI, .NEF, .NIM, .ODB, .ODG, .ODP, .ODS, .ODT, .OGG, .ONETOC2, .OPUS, .OST, .OTG, .OTP, .OTS, .OTT, .P, .PAQ, .PAS, .PDF, .PEM, .PFX, .PHP, .PL, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSD, .PST, .PY, .PYW, .QL, .R, .RAR, .RAW, .RB, .RE, .RKT, .RS, .RTF, .SCH, .SCM, .SH, .SLDM, .SLDX, .SLK, .SLN, .SML, .SNT, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .STC, .STD, .STI, .STW, .SUO, .SV, .SVG, .SWF, .SWIFT, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TGZ, .TIF, .TIFF, .TS, .TSX, .TXT, .UOT, .V, .VB, .VBA, .VBS, .VCD, .VDI, .VHD, .VHDX, .VMDK, .VMX, .VOB, .VSD, .VSDX, .WAV, .WEBM, .WEBP, .WKS, .WMA, .WMV, .XLC, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XZ, .ZIP, .ZSH  

Файлы, связанные с этим Ransomware:
!!!READ_ME_VELUTH!!!.txt - название файла с требованием выкупа;
veluth.exe - название вредоносного файла;

VeluthDecrypter.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\VeluthRansomwareInstance

См. ниже результаты анализов.

Сетевые подключения и связи:
Signal: @Veluth.01

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: de17d587e4e70e4eba14ed51a0dd57dd 

SHA-1: c06cc2622c5544ba39ed7c2f3dc904b4e99b3ccc 

SHA-256: c9f3ecf7342fa7ed94061f0bb906f04bc8789c14fb80b3bf2f656e7954a9e39b 

Vhash: 0940a65d157d05151c051133z12z317z37z43z21z8bz 

Imphash: 27b05b2176448fb659053a795c1d5cbe

---

IOC: VT, HA, IA, TG, AR

MD5: 263f232fb3a41f96b758c9f32c9768f1 

SHA-1: e2184a091f21032fcdd1bf66dae18b19689560d2 

SHA-256: 5fa602428b77ab30beccb0ef1f566de5461abb91bf168acb982074a7761d9286 

Vhash: 0940a65d157d05151c051133z12z2f7z37z43z21z8bz 

Imphash: e8841ffb160c17a8a596367a324ceb45

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 июня 2025:

Записка: veluth.readme.txt

Файл: eluthist.exe

IOC: VT, IA, TG

MD5: 61105859aeff2053065b5d479d710cad 

SHA-1: 96fb8bb8aad43a08d983dad4bb1fb51cdbc97d9e 

SHA-256: a7a98ca295fc50e3feec3ee0e8a147afa9e53223bf11bc1262cf211dea731d83 

Vhash: 017086655d55551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.42303

BitDefender -> Gen:Variant.Tedy.768861

ESET-NOD32 -> A Variant Of WinGo/Filecoder.LY

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Program:Win32/Wacapew.C!ml

Rising -> Trojan.Undefined!8.1327C (CLOUD)

TrendMicro -> TROJ_GEN.R002H09F125

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.