BlackNevas

BlackNevas Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымоагтелям, чтобы узнать как заплатить выкуп и расшифровать файлы. Оригинальное название: BlackNevas. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Generic.38768957
ESET-NOD32 -> A Variant Of Win64/Filecoder.Trigona.C
Kaspersky -> Trojan-Ransom.Win32.Agent.bckd
Malwarebytes -> Malware.AI.3900204784
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Trigona!1.E2AE (CLASSIC)

Symantec -> Ransom.Proton
Tencent -> Malware.Win32.Gencirc.149d156b
TrendMicro -> TROJ_GEN.R002C0DI225
---

© Генеалогия: ✂ Trigona >> BlackNevas

Сайт "ID Ransomware" идентифицирует BlackNevas с 26 августа 2025.

Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .-encrypted


Записка с требованием выкупа называется: how_to_decrypt.txt

Содержание записки о выкупе (начальный фрагмент):

ATTENTION!!!!

Your computer ID:  CAPELLADES

ATTENTION to representatives CAPELLADES!!!!

Your system has been tested for security and unfortunately your system was vulnerable. 

We specialize in file encryption and industrial (economic or corporate) espionage. 

We don't care about your files or what you do, nothing personal - it's just business. 

We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files.

Your computer ID:  CAPELLADES

Please note that if:

- you ignore this message for 7 days, your decryption keys will be deleted;

- an attempt to change the name of an encrypted file will damage the encrypted file, making it impossible to decrypt;

- using third-party free or paid programs will damage the encrypted file, making it impossible to decrypt;

For more detailed information write to us: asherjon@myself.com

Telegram: hxxxs://t.me/BlackNevas

Reserve Email:

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asherjon@myself.com

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

Telegram: @BlackNevas

Tor-URLs: 

hxxx://ctyfftrjgtwdjzlgqh4avbd35sqrs6tde4oyam2ufbjch6oqpqtkdtid.onion

hxxx://kill432ltnkqvaqntbalnsgojqqs2wz4lhnamrqjg66tq6fuvcztilyd.onion

hxxxs://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion/companies

hxxx://z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion/blog

hxxx://black3gnkizshuynieigw6ejgpblb53mpasftzd6pydqpmq2vn2xf6yd.onion

hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion

hxxx://k67ivvik3dikqi4gy4ua7xa6idijl4si7k5ad5lotbaeirfcsx4sgbid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: f34e1ef922fd065e25b55faa021aefae 

SHA-1: 78ba10ca8cad98cea075b6725093a06dfe08d43a 

SHA-256: cb27ae30a0654bc1cf51d476eeef18eea502c406c1c025142b8d2f7c9cafd8f4 

Vhash: 0160b65d5c0d1d151c051078z7b1z35zb5z13za033z16z3 

Imphash: d1ff72de48440e9c1c5a2199d7bda4c2

Связанные (промежуточные) варианты:

IOC: VT: SHA-256: 

3d09e930305cb3aa4ca54a39b0e3749f083d432f202606c8adac8455014b47fc

501821a19ccf59830789849beff94238736adb4b213870a511890c5c8efab2a6

40a40eaf3e2a634d5d9ae4131ffb21c9210d4991ba56b3536bb10284a6e94717

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lumiypt

Lumiypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем предлагает связаться через Telegramс вымоагтелем, чтобы заплатить выкуп и расшифровать файлы. Оригинальное название: Lumiypt. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Lumiypt (Lumi+crypt)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lumiypt

Записка с требованием выкупа называется: Readme.txt

Содержание записки о выкупе:

--- ENGLISH ---

What happened?

All of your files are encrypted and stolen.

Don't waste your and our time to recover your files.

Formatting your pc = lose your encrypted data in partition C

When you format your pc the other partitions will stay encrypted

It is impossible to decrypt your files without our help

Contact me in telegram : @zedfffffza

or visit the link to contact us --> hxxxs://pastebin.com/*** ( open the link and you will know how to contact me ) 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @zedfffffza

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 amine95, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Warlock

Warlock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем предлагают выкупить ключ дешифрования, чтобы расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространение: Warlock Group. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.42802
BitDefender -> Trojan.GenericKD.76936795
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.aeev
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/WarLock.MKV!MTB
Rising -> Ransom.Lockbit!1.12C59 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.1498113a
TrendMicro -> Ransom.Win32.WARLOCK.A
---

© Генеалогия: Babuk NextGen + ✂ LockBit 3.0 >> Warlock

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июля-начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .x2anylock


Записка с требованием выкупа называется: How to decrypt my data.txt

Содержание записки о выкупе:

We are [Warlock Group], a professional hack organization. We regret to inform you that your systems have been successfully infiltrated by us, and your critical data, including sensitive files, databases, and customer information, has been encrypted. Additionally, we have securely backed up portions of your data to ensure the quality of our services.

= = = = > What Happened?

Your systems have been locked using our advanced encryption technology. You are currently unable to access critical files or continue normal business operations. We possess the decryption key and have backed up your data to ensure its safety.

= = = = > lf You Choose to Pay:

Swift Recovery: We will provide the decryption key and detailed guidance to restore all your data within hours.

Data Deletion: We guarantee the permanent deletion of any backed-up data in our possession after payment, protecting your privacy.

Professional Support: Our technical team will assist you throughout the recovery process to ensure your systems are fully restored.

Confidentiality: After the transaction, we will maintain strict confidentiality regarding this incident, ensuring no information is disclosed.

= = = = > If You Refuse to Pay:

Permanent Data Loss: Encrypted files will remain inaccessible, leading to business disruptions and potential financial losses.

Data Exposure: The sensitive data we have backed up may be publicly released or sold to third parties, severely damaging your reputation and customer trust.

Ongoing Attacks: Your systems may face further attacks, causing even greater harm.

= = = = > How to Contact Us?

Please reach out through the following secure channels for further instructions (When contacting us, please provide your decrypt ID):

###Contact 1:

Your decrypt ID: ebf01789-a080-4db7-92b9-ea5717d2****

Dark Web Link: hxxx://zfyti2egsze6uiswodhbaalyy5rawaytv2nzyzdktBsusbewviqqh7yd.onion/touchus.html

Your Chat Key: uraplaiqullfwwxbyxotqfqakhhfjii****

You can visit our website and log in with your chat key to contact us. Please note that this website is a dark web website and needs to be accessed using the

Tor browser. You can visit the Tor Browser official website (https://www.torproject.org/) to download and install the Tor browser, and then visit our website.

###Contact 2:

If you don't get a reply for a long time, you can also download qtox and add our ID to contact us

Download: https://qtox.github.io/

Warlock qTox ID: 84490152E99B9EC4BCFE16080AFCFD6FDCD87512027E85DB318F7B3440982637FC2847F71685

Our team is available 24/7 to provide professional and courteous assistance throughout the payment and recovery process.

We don't need a lot of money, it's very easy for you, you can earn money even if you lose it, but your data, reputation, and public image are irreversible, so contact us as soon as possible and prepare to pay is the first priority. Please contact us as soon as possible to avoid further consequences.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Перезапись диска: 

Warlock использует утилиту writenull.exe, которая после шифрования заполняет диск нулевыми байтами, перезаписывая свободное пространство, что затрудняет восстановление файлов и криминалистический анализ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, пропускаемых при шифровании:

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx, .x2anylock 

Список пропускаемых директорий: 
$Recycle.Bin, All Users, AppData, Boot, Google, Internet Explorer, Mozilla, Mozilla Firefox, Opera, Opera Software, Tor Browser, ProgramData, Windows, Windows.old

Список игнорируемых файлов:

autorun.inf,  desktop.ini, Program Files, 

boot.ini  iconcache.db, Program Files (x86), 

bootfont.bin, ntldr, #recycle, 

bootsect.bak, ntuser.dat, 

bootmgr, ntuser.dat.log, decryptiondescription.pdf, 

bootmgr.efi, ntuser.ini, config.json, 

bootmgfw.efi, thumbs.db, 

How to decrypt my data.txt, Important!!!.pdf

Файлы, связанные с этим Ransomware:
How to decrypt my data.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Chat: hxxx://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd.onion/touchus.html

Leak Site: hxxx://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 68bd43a00ba948f435ecbdd402914298 

SHA-1: cf0da7f6450f09c8958e253bd606b83aa80558f2 

SHA-256: da8de7257c6897d2220cdf9d4755b15aeb38715807e3665716d2ee761c266fdb 

Vhash: 0650666d155d05556068z82z23z27z13z1fz 

Imphash: 68b4d382d58841049e90c88f8c585bf0

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8a0b41e965e66689e78ca36d3477cb0c 

SHA-1: 8b13118b378293b9dc891b57121113d0aea3ac8a 

SHA-256: 983b4e6edd2b289dd1a389aed908861fd8f0bf7d8e82a916ebe6d4df8642ab54 

Vhash: 1650666d155d05156068z811z23z27z23z1eze 

Imphash: 351664106fcdce1ebc9cf33a0b325e71

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.