DarkNetRuss Ransomware
DarkRuss_CyberVolk Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.43308
BitDefender -> Trojan.Generic.38800179
ESET-NOD32 -> WinGo/Filecoder.NG Trojan
Kaspersky -> Trojan.Win32.Agent.xcabjn
Microsoft -> Trojan:Win32/Alevaul!rfn
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Win32.Trojan.Agent.Etgl
TrendMicro -> TROJ_GEN.R023H09ID25
---
© Генеалогия: Cybervolk >> DarkNetRuss
Сайт "ID Ransomware" DarkNetRuss пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце августа — ноябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .DarkRuss_CyberVolk
Записка с требованием выкупа называется: DECRYPT_INSTRUCTIONS.txt
Записка с требованием выкупа называется: DECRYPT_INSTRUCTIONS.txt
Содержание записки о выкупе:
DARKNETRUSS 2025
HELLO CITIZEN:
YOUR SYSTEM WAS BREACHED BY ZERO-DAY EXPLOITS.
WE DEPLOYED **DARKNETRUSS RANSOMWARE** (AES-256 + CUSTOM-LAYERED OBFUSCATION + MILITARY-GRADE LOCKERS).
> ALL FILES ENCRYPTED: DOCUMENTS | PHOTOS | DATABASES
> BACKUPS DESTROYED: 7/7 CLOUD & LOCAL COPIES WIPED
> WE SEE YOU: WEBCAM & KEYLOGGER ACTIVE SINCE 72 HOURS
> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt
> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt
> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt
*** WARNING ***
ATTEMPTING 3RD-PARTY TOOLS = PERMANENT DATA CORRUPTION
DECRYPTION COST NOW: **Contact Us For Details**
DATA LEAK COUNTDOWN
FAILURE TO PAY IN **12 HOURS** TRIGGERS:
1. PERSONAL DATA AUCTIONED ON DARKNET
→ Banking PDFs | Private chats | ID Scans
2. "EMBARRASSING FOLDER" SHARED TO ALL SOCIAL CONTACTS
3. KEYLOGS + WEBCAM FOOTAGE STREAMED ON TOR NETWORK
4. Whole Database
PAYMENT PROTOCOL
> SEND BTC TO:
bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v
> BTC ACQUISITION:
1. Register at Binance/Kraken
2. Complete KYC verification
3. Buy BTC → Withdraw to EXTERNAL WALLET
4. Send to our address: bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v
CONTACT INSTRUCTIONS
> AFTER PAYMENT:
1. INSTALL SESSION MESSENGER:
hxxps://getsession.org
2. ADD SESSION ID ID:
0588a31386ecb4e5c19ecb47c6c5b6bc1261d18870bd3f1594a6f9d27d7e3e0163
3. SEND PAYMENT PROOF : "DARKNETRUSS UNLOCK"
> NO REPLY? LEAKS GO LIVE IN: [11:59:59]
!!! DISCLAIMER !!!
Your files are fully encrypted. DarkNetRuss Watching You ,
***✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DECRYPT_INSTRUCTIONS.txt - название файла с требованием выкупа;
darkRuss.exe, kht0s.exe - названия вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a1e6d2fb310de44a1454007c608b6439
SHA-1: e5f1269f9b776009017c32db8e3cd7cf5a903bcc
SHA-256: 22a06e169db401389caf1ad8da414fabcb554dd1a4dca2b9c7075db8f548d8f8
Vhash: 07503e0f7d1bz4!z
Imphash: 6ed4f5f04d62b18d96b26d6db7c18840
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: mrglwglwgl, JAMESWT_WT, pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.