Datacarry

Datacarry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует уплатить выкуп в 1 BTC или дешевле, чтобы вернуть файлы. Иначе, вымогатели угрожают продать данные. Оригинальное название: Datacarry Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.75779139
ESET-NOD32 -> A Variant Of WinGo/ReverseShell.FI
Kaspersky -> HEUR:Backdoor.Win64.Convagent.gen
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Backdoor.Convagent!8.123DC (CLOUD)
Tencent -> Win32.Trojan.Gencirc.Zolw
TrendMicro -> Trojan.Win64.REVERSESHELL.B.go
---

© Генеалогия: родство выясняется >> Datacarry

Сайт "ID Ransomware" Datacarry пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. и продолжилась позже. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть пострадавшие в Великобритании, Бельгии, Дании, ЮАР, Турции, Италии, Греции и других странах. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:

Your network has been attacked.

All files have been encrypted with a strong encryption algorithm.

Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation.

No decryption software is available in the public. If you wish to try decryption on your own, do it on a file that does not matter.

DO NOT RESET OR SHUTDOWN, files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

This may lead to the impossibility of recovery of the certain files.

We can provide free decryption samples.

To get info (decrypt your files) contact us at: datacarry@riseup.net

We have also successfully backed up data such as customer information from your databases. We can provide listing.

Ensuring if you DO NOT comply your data will be leaked. (hxxx://dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion/)

Current price: 1 BTC, can be negotiated

Failure to meet the payment will result in your data being leaked to the public.

Failure to contact will result in a dataleak.

If contacting via email and you receive no response please refer to our session ID: 050d1feda2751e807b2a731f1f5fe764910ba9ea8bc46e2643d31808********** (getsession.org)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
audiofg.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion

Email: datacarry@riseup.net
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d86163423afa32bb0b793ad909d6b357 

SHA-1: 6654da92a135b16a6d74991ed6d23a419a8ea012 

SHA-256: b1cf41363401fe5671e24fd55ee89b0c177140c482a8dab1b9891db509df52f6 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

---

IOC: VT, HA, IA, TG, AR

MD5: 34d8f42e67a6ae938554cb98f939b759 

SHA-1: 02766adb767eb574749646e287a44594d3f71ca3 

SHA-256: 9b4e60fc6089912f84c96e77f8d905a6c1e9e76d15fdce96958a45ad0e8e6108 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.