Gentlemen

Gentlemen Ransomware 

The Gentlemen Ransomware

Джентльмены-вымогатели

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов XChaCha20 и X25519, а затем предлагает купить ключ и программу для дешифрования файлов. Оригинальное название: The Gentlemen, указано на сайте. Написан на языке програмимрования Go. Защищен VMProtect. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43304

BitDefender -> Trojan.GenericKD.77358303
ESET-NOD32 -> WinGo/Filecoder.NP
Kaspersky -> Trojan-Ransom.Win64.Agent.eag
Malwarebytes -> Malware.Heuristic.2006
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Kryptik@AI.82 (RDML:LC+GW***
Tencent -> ***
TrendMicro -> ***
---

© Генеалогия: родство выясняется >> Gentlemen 

Сайт "ID Ransomware" Gentleman пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в июле — сентябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Замечен в атаках на сети организаций и предприятий обрабатывающей промышленности, строительства, здравоохранения,  страхования, здравоохранения и пр. из стран Азиатско-Тихоокеанского региона: Таиланд, США и другие. 

К зашифрованным файлам добавляется расширение: .<random{6}>


Записка с требованием выкупа называется: README-GENTLEMEN.txt

Содержание записки о выкупе:

4a94d2b7*** = YOUR ID

Gentlemen, your network is under our full control.

All your files are now encrypted and inaccessible.

1. Any modification of encrypted files will make recovery impossible. 

2. Only our unique decryption key and software can restore your files. 

   Brute-force, RAM dumps, third-party recovery tools are useless.

   It’s a fundamental mathematical reality. Only we can decrypt your data.

3. Law enforcement, authorities, and “data recovery” companies will NOT help you.

   They will only waste your time, take your money, and block you from recovering your files — your business will be lost.

4. Any attempt to restore systems, or refusal to negotiate, may lead to irreversible wipe of all data and your network.

5. We have exfiltrated all your confidential and business data (including NAS, clouds, etc). 

   If you do not contact us, it will be published on our leak site and distributed to major hack forums and social networks.

TOX CONTACT - RECOVER YOUR FILES

Contact us (add via TOX ID): F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E

Download Tox messenger: https://tox.chat/download.html

COOPERATE TO PREVENT DATA LEAK (239 HOURS LEFT)

Check our blog: hxxx://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion/ 

Download Tor browser: https://www.torproject.org/download/

Any other means of communication are fake and may be set up by third parties. 

Only use the methods listed in this note or on the specified website.

Заменяет обои Рабочего стола собственным изображением:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Завершает ряд системных служб и процессов, а затем удаляет теневые копии файлов, очищает Корзину, удаляет журналы системы, очищает журналы протокола удаленного рабочего стола (RDP), удаляет файлы поддержки Защитника Windows и отключает мониторинг в реальном времени.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-GENTLEMEN.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: adf675ffc1acb357f2d9f1a94e016f52 

SHA-1: 2cd15d5d4cc58d06cfb6be5eabc681925d0ce5ce 

SHA-256: 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2 

Vhash: 0170c6050d05050d0504cz1!z 

Imphash: 9da18038e0ba9a33fbbaf76636ea1aff

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 TrendMicro, PCrisk, petik, rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.