Yurei Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.43081
BitDefender -> Gen:Variant.Ransom.NightSpire.6
ESET-NOD32 -> WinGo/Filecoder.NightSpire.C Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Malware.AI.2397726836
Microsoft -> Trojan:Win32/Acll!rfn
Rising -> Ransom.Yurei!1.1370B (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Satan.16002323
TrendMicro -> Ransom.Win64.YUREI.SM.go
---
© Генеалогия: родство выясняется >> Yurei
Сайт "ID Ransomware" Yurei пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале сентября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .Yurei
Записка с требованием выкупа называется: _README_Yurei.txt
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
_README_Yurei.txt - название файла с требованием выкупа;
Yurei.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd[.]onion
Записка с требованием выкупа называется: _README_Yurei.txt
Содержание записки о выкупе:
--== Yurei ==--
Dear Management,
If you are reading this message, it means that:
|— Your company's internal infrastructure has been fully or partially compromised.
|— All your backups — both virtual and physical — and everything we could access have been completely wiped.
1— Additionally, we have exfiltrated a large amount of your corporate data prior to encryption.
We fully understand the damage caused by locking your internal resources. Now, let's set emotions aside and try to build a constructive dialogue.
WHAT YOU NEED TO KNOW
|— Dealing with us will save you a lot — we have no interest in financially destroying you.
|— We will thoroughly analyze your finances, bank statements, income, savings, and investments, and present a reasonable demand.
|— If you have active cyber insurance, let us know — we will guide you on how to properly use it.
1— Dragging out negotiations will only cause the deal to fail.
PAYMENT BENEFITS
|— Paying us saves time, money, and effort — you can be back on track within approximately 24 hours.
|— Our decryptor works perfectly on all files and systems — you can request a test decryption at any time.
1— Attempting recovery on your own may result in permanent file loss or corruption — in such cases, we won't be able to help.
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
_README_Yurei.txt - название файла с требованием выкупа;
Yurei.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd[.]onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 425d28263b9cea66a259a86f0fca620f
SHA-1: 95cb337dbb1f77fa8fb1b823f62e6419e92625f8
SHA-256: 49c720758b8a87e42829ffb38a0d7fe2a8c36dc3007abfabbea76155185d2902
Vhash: 026086655d65551d15541az2e!z
Imphash: d42595b695fc008ef2c56aabd8efd68e
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.