Xentari Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.43519
BitDefender -> Trojan.GenericKD.76887576
ESET-NOD32 -> A Variant Of Generik.GMJTXRE
Kaspersky -> UDS:Trojan-Ransom.Win32.Gen
Malwarebytes -> Spyware.Passwordstealer
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> ***
Tencent -> Win32.Trojan-Ransom.Generic.Ekjl
TrendMicro -> TROJ_GEN.R023C0DGM25
---
© Генеалогия: родство выясняется >> Xentari
Сайт "ID Ransomware" Xentari пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .xentari
Записка с требованием выкупа называется: README_XENTARI.txt
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_XENTARI.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: decrypt@xentari.dark
BTC: 1FfmbHfnpaZjKFvyi1okTjJJusN455paPH
Записка с требованием выкупа называется: README_XENTARI.txt
Содержание записки о выкупе:
All of your important files have been ENCRYPTED!
Your documents, photos, videos, and databases are no longer accessible.
The only way to recover them is by purchasing a unique decryption tool
along with a private decryption key generated specifically for your system.
DO NOT ATTEMPT TO:
- Modify, rename, or move encrypted files.
- Run any recovery software or system restore.
- Turn off your computer during the process.
Doing so will result in PERMANENT LOSS of your data.
Encrypted Extensions: .xentari
Encryption: AES-256 + RSA-2048
TO RECOVER YOUR FILES:
1. Send 0.5 BTC to the following Bitcoin address:
1FfmbHfnpaZjKFvyi1okTjJJusN455paPH
2. Email us at:
decrypt@xentari.dark
with your System ID and payment proof.
3. You will receive the decryption tool and key.
Optional: You may test decryption of 1 file (less than 1MB) for free.
DEADLINE: You have 72 hours before the price doubles.
We are the only ones who can decrypt your files.
Tampering or using third-party tools will only damage your data.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_XENTARI.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: decrypt@xentari.dark
BTC: 1FfmbHfnpaZjKFvyi1okTjJJusN455paPH
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
c07de2813a8d6502d54f18df57d74b6f
SHA-1: 8228d9b496c96256614a240c8e806acb12fba35e
SHA-256: 94067a900edd224ecb64cf208b2c226a15b2aa1edf5d9ef63a749c90f4e16726
Vhash: 017076655d155d0555504013z3006dmz1cfz
Imphash: c990338f8145dc29c6f38fb73cf05c77
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: fbgwls245 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.