DireWolf

DireWolf Ransomware

DireWolf Doxware

DireWolf Hacking Group

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов Curve25519 и ChaCha20, а затем требует связаться с вымогателями через чат на сайте в сети Tor, или через email вымоагтелей, чтобы узнать как заплатить выкуп и вернуть свои файлы. Оригинальное название: DireWolf. Написан на языке программирвоания Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.42458, Trojan.Encoder.42473
BitDefender -> Trojan.Generic.38142181, Trojan.Generic.38138312
ESET-NOD32 -> A Variant Of WinGo/Filecoder.JB, analogically
Kaspersky -> Trojan.Win32.DelShad.nrj, Trojan.Win32.DelShad.nrn
Malwarebytes -> Ransom.FileCryptor, analogically
Microsoft -> Trojan:Win32/Casdet!rfn, Ransom:Win64/DireWolf.A
Rising -> Ransom.Agent!1.129F5 (CLOUD), Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Win32.Trojan.Delshad.Ydkl, Win32.Trojan.Delshad.Jtgl
TrendMicro -> Ransom.Win64.DIREWOLF.THFBOBE, Ransom.Win64.DIREWOLF.THFBDBE
---

© Генеалогия: нет данных о родстве DireWolf

Сайт "ID Ransomware" идентифицирует DireWolf c 29 мая 2025 г. 

Информация для идентификации

Активность вымогателей была замечена в конце мая — начале июня 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших компании из разных стран:  США, Таиланд, Австралия, Бахрейн, Индия, Италия, Канада, Мексика, Сингапур, Тайвань, Франция. 

К зашифрованным файлам добавляется расширение: .direwolf

Записка с требованием выкупа называется: HowToRecoveryFiles.txt

Содержание записки о выкупе: 

Dear Mr or Ms, 

If you are reading this message, it means that: 

- your network infrastructure has been compromised

- critical data was leaked

- files are encrypted

--------------------------------------------------------------------------

The best and only thing you can do is to contact us

to settle the matter before any losses occurs. 

--------------------------------------------------------------------------

We can maintain confidentiality for 3 days for you, during which we will not disclose any information about your intrusion or data leakage. 

We can extend the confidentiality period free of charge until we reach an agreement if you contact us within 3 days and communicate effectively with us.

If the confidentiality period expires, we will disclose the relevant information. 

We provide complimentary decryption testing services. For specific details, please contact us.

--------------------------------------------------------------------------

We have provided a sample document as proof of our possession of your files and you can download and check it: 

- hxxxs://gofile.io/d/3*****

Please be advised that your files are scheduled for public release after 30 working days. 

If you want to secure your files, we urge you to reach out to us at your earliest convenience.

--------------------------------------------------------------------------

Contact Details:

- live chat room:

- url:hxxx://direwolf3ddtab5anvhulcelauvoxu2a7l264hqs6vtxtgrqsjfvodid.onion/ 

- roomID: thairung

- username: tha*****

- password: E27*****

-------------------------------------------------------------------------- 

Our official website:

- url:hxxx://direwolfcdkv5whaz2spehizdg22jsuf5aeje4asmetpbt6ri4jnd4qd.onion/

--------------------------------------------------------------------------

How to access .onion website: 

1.Download and install TOR Browser https://torproject.org

2.Open it and try to access our onion address

3.Maybe you need to use VPN if it can not open our onion address

Скриншоты с сайта вымогателей:

Скриншоты с тестовой машины:

выполняется шифрование

записка о выкупе

 

варианты сообщения на разных версиях Windows

последующая перезагрузка

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Перед шифрованием завершает ряд процессов, отключает некоторые антивирусные программы, чтобы беспрепятственно шифровать все файлы. кроме тех, что находятся в списке исключений. 

Удаляет теневые копии файлов через vssadmin и wmic, отключает и удаляет резервное копирование Windows, очищает журналы событий Windows, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet

wmic shadowcopy delete /nointeractive

wbadmin disable backup -quiet

wbadmin delete backup -keepVersions:0 -quiet

wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 -quiet

wbadmin delete catalog -quiet

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

wevtutil cl Application

wevtutil cl system

wevtutil cl security

wevtutil cl setup

Похищает данные из браузеров.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключений:

.exe, .dll, .sys, .drv, .bin, .tmp, .iso, .img, .direwolf

Файлы, связанные с этим Ransomware:
HowToRecoveryFiles.txt - название файла с требованием выкупа;
data345.exe - название вредоносного файла;

runfinish.exe - специальный файл на диске C, сбрасываемый после шифрования, который ищет шифровальщик, чтобы проверить — были ли зашифрованы файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\runfinish.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\direwolfAppMutex

Наличие этого мьютекса гарантирует, что только один экземпляр шифровальщика запускается в данный момент времени.

См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://direwolfcdkv5whaz2spehizdg22jsuf5aeje4asmetpbt6ri4jnd4qd.onion

hxxx://direwolf3ddtab5anvhulcelauvoxu2a7l264hqs6vtxtgrqsjfvodid.onion

QTox ID: B344BECDC01A1282F69CB82979F40439E15E1FD1EF1FE9748EE467F5869E2148E6F1E55959E2

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

 

Результаты анализов: 

IOC: VT, IA, TG

MD5: a71dbf2e20c04da134f8be86ca93a619 

SHA-1: ed7c9fbd42605c790660df86b7ec325490f6d827 

SHA-256: 8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad 

Vhash: 07503e0f7d1bz4!z 

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC: VT, IA, TG

MD5: aa62b3905be9b49551a07bc16eaad2ff 

SHA-1: 4a5852e9f9e20b243d8430b229e41b92949e4d69 

SHA-256: 27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3 

Vhash: 026066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 DarkFeed, Bitshadow, petik, PaduckLee
 Andrew Ivanov (article author)
 Trustwave
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.