BlackNevas Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Generic.38768957
ESET-NOD32 -> A Variant Of Win64/Filecoder.Trigona.C
Kaspersky -> Trojan-Ransom.Win32.Agent.bckd
Malwarebytes -> Malware.AI.3900204784
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Trigona!1.E2AE (CLASSIC)
Symantec -> Ransom.Proton
Tencent -> Malware.Win32.Gencirc.149d156b
TrendMicro -> TROJ_GEN.R002C0DI225
---
© Генеалогия: ✂ Trigona >> BlackNevas
Сайт "ID Ransomware" идентифицирует BlackNevas с 26 августа 2025.
Tencent -> Malware.Win32.Gencirc.149d156b
TrendMicro -> TROJ_GEN.R002C0DI225
---
© Генеалогия: ✂ Trigona >> BlackNevas
Информация для идентификации
Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .-encrypted
Записка с требованием выкупа называется: how_to_decrypt.txt
Содержание записки о выкупе (начальный фрагмент):
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
how_to_decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: asherjon@myself.com
Записка с требованием выкупа называется: how_to_decrypt.txt
ATTENTION!!!!
Your computer ID: CAPELLADES
ATTENTION to representatives CAPELLADES!!!!
Your system has been tested for security and unfortunately your system was vulnerable.
We specialize in file encryption and industrial (economic or corporate) espionage.
We don't care about your files or what you do, nothing personal - it's just business.
We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files.
Your computer ID: CAPELLADES
Please note that if:
- you ignore this message for 7 days, your decryption keys will be deleted;
- an attempt to change the name of an encrypted file will damage the encrypted file, making it impossible to decrypt;
- using third-party free or paid programs will damage the encrypted file, making it impossible to decrypt;
For more detailed information write to us: asherjon@myself.com
Telegram: hxxxs://t.me/BlackNevas
Reserve Email:
compsupp@techie.com
paymeuk@consultant.com
Serina5Murrock@email.com
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
how_to_decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: asherjon@myself.com
compsupp@techie.com
paymeuk@consultant.com
Serina5Murrock@email.com
Telegram: @BlackNevas
Tor-URLs:
hxxx://ctyfftrjgtwdjzlgqh4avbd35sqrs6tde4oyam2ufbjch6oqpqtkdtid.onion
hxxx://kill432ltnkqvaqntbalnsgojqqs2wz4lhnamrqjg66tq6fuvcztilyd.onion
hxxxs://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion/companies
hxxx://z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion/blog
hxxx://black3gnkizshuynieigw6ejgpblb53mpasftzd6pydqpmq2vn2xf6yd.onion
hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion
hxxx://k67ivvik3dikqi4gy4ua7xa6idijl4si7k5ad5lotbaeirfcsx4sgbid.onion
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: f34e1ef922fd065e25b55faa021aefae
SHA-1: 78ba10ca8cad98cea075b6725093a06dfe08d43a
SHA-256: cb27ae30a0654bc1cf51d476eeef18eea502c406c1c025142b8d2f7c9cafd8f4
Vhash: 0160b65d5c0d1d151c051078z7b1z35zb5z13za033z16z3
Imphash: d1ff72de48440e9c1c5a2199d7bda4c2
Связанные (промежуточные) варианты:
IOC: VT: SHA-256:
3d09e930305cb3aa4ca54a39b0e3749f083d432f202606c8adac8455014b47fc
501821a19ccf59830789849beff94238736adb4b213870a511890c5c8efab2a6
40a40eaf3e2a634d5d9ae4131ffb21c9210d4991ba56b3536bb10284a6e94717
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: fbgwls245 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.