Nebula Ransomware
NebulaRun Ransomware
Nebula Decryptor
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.42833
BitDefender -> Generic.Ransom.Hiddentear.A.FDE93146
ESET-NOD32 -> A Variant Of MSIL/Agent_AGen.DEG
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Nebula
Microsoft -> Trojan:Win32/Leonem!rfn
Rising -> Ransom.RedCrypt!8.1BBB6 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1497cabf
TrendMicro -> Ransom.MSIL.NEBULARUN.SM
---
© Генеалогия: BlackHeart >> BlackDream, BlackLegion, Encry и другие > Nebula (NebulaRun)
Информация для идентификации
Образец этого крипто-вымогателя был найден во второй половине июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .nbl
Записка с требованием выкупа написана в окне Nebula Decryptor.
Записка с требованием выкупа написана в окне Nebula Decryptor.
Содержание записки о выкупе:
Nebula Decryptor
Your Files Are Encrypted By Nebula
All Your Important Files And Knowledge Is Encrypted With AES-128-CBC
For Payment (No Payment) Connect To Us Thru Discord;
And Provide Your Client ID For Key
Discord Username: yessir063332
To Save Your Files Either You Have To Pay Or Maybe We Could Decrypt Your Files For Free!
Actually Its Free!!!!
Do Not Panic Neither Call Somebody Or Try To Decrypt It Will Result In Permanent Data Loss
And I dont Want Your Files To Be Lost!
Hello!
Who Am I?
I am A AES-128-CBC and Worm Ransomware So If U Dont Want To Get Your Files To Locked Up
Get Bıtdefender Or Kaspersky!
Regards...
-NebulaRansomware
Discord Username: yessir063332
Victim Code: ***
Пароль дешифрования:
test
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
текст с требованием выкупа написан внутри окна Nebula Decryptor;
NebulaRun.nebula.png - файл изображения;
NebulaRun.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
NebulaRun.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Izoly\Desktop\NebulaRun\NebulaRun\obj\Release\NebulaRun.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Discord: yessir063332
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Discord: yessir063332
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 9d82b9408af99a97511ce4f40b04b176
SHA-1: 95e1dcebb2fb42e2059c99e242fc131951178d4a
SHA-256: 6a3ebc7e04c827188054cf16dc7a3b1546355a3e6cbd67352be4ddb34f0ff3dd
Vhash: 23403655151220a7273440411
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.