Obscura

Obscura Ransomware

Obscura Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Obscura. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43182
BitDefender -> Trojan.GenericKD.77264011
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Obscura.A
Kaspersky -> Trojan.Win32.DelShad.ons
Malwarebytes -> Ransom.Obscura
Microsoft -> Ransom:Win64/GoObscura.YBH!MTB
Rising -> Ransom.Obscura!8.1D3C9 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Pjgl
TrendMicro -> Ransom_GoObscura.R002C0DI925
---

© Генеалогия: родство выясняется >> Obscura

Сайт "ID Ransomware" идентифицирует Obscura с 5 сентября 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. или даже раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .obscura

Записка с требованием выкупа называется: README-OBSCURA.txt

Содержание записки о выкупе:

Good day! Your company has failed a simple penetration test.

>> Your network has been completely encrypted by our software.

Our ransomware virus uses advanced cryptography technology that will make it very difficult for you to recover your information.

>> All information has been stolen.

We have stolen all information from all devices on your network, including NAS. The data includes but is not limited to: employee passport details, internal documentation, financial documents, and so on.

>> You have about 240 hours to respond.

If there is no response, all stolen information will be distributed.

We are waiting for you to decide to write to us, and we will be happy to negotiate a ransom price with you. By paying the ransom, you will also receive:

1) a report on how we infiltrated your network

2) instructions + software that decrypts all files

3) our assistance in recovery, if needed.

>> They will not help you; they are your enemies.

Recovery agencies, the police, and other services will NOT HELP you. Agencies want your money, but they do not know how to negotiate. 

If you think you can restore your infrastructure from external backups that we did not access, we warn you:

1) The laws of any country impose huge fines on companies for information leaks.

2) Playing against us will not work in your favor. We will gladly wipe every one of your servers and computers.

When you write to us, we expect to hear from you who you are and what your relationship to the company is.

Your ID: 148061***

TOX: AE55FC0EB1C25A5B081650108F9081E23***

Blog: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Obscura. 2025.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов с помощью команды: 
cmd.exe /c vssadmin delete shadows /all /quiet

Завершает множество процессов, которые могут помешать шифрованию.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключения при шифровании: 

- системные исполняемые файлы и библиотеки (.exe, .dll, .msi, .sys); 

- загрузочные файлы и прошивки (.efi, .boot, .iso, .rom, .bin); 

- конфигурационные файлы и утилиты (.ini, .cfg, .lnk, .hosts, .swapfile); 

- расширение, используемое при шифровании (.obscura). 

Файлы, связанные с этим Ransomware:
README-OBSCURA.txt - название файла с требованием выкупа;
a.exe, r49hz.exe - названия вредоносных файлов.

Исполняемый файл представляет собой бинарный файл Go (включая идентификатор сборки Go) и содержит ряд путей, вроде такого:  /run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/ и /run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e8c19bf10d044fe448a60e3fa0f60d58 

SHA-1: 2f859eeaa01238ed704fe504470186904dc59629 

SHA-256: 1942510d3b5691819636067ec89b7b7bb18f784d819060d687fc0248dbed5047 

Vhash: 026067555d1d15541az25!z 

Imphash: 167344a4df394fbba605fc972e41437a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.