Sicari

Sicari Ransomware

Aliases: Sicarii, Sicarius

Sicari Ransomware Group

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Распространитель: Sicari Ransomware Group
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Ransom.PKV
ESET-NOD32 -> Win64/Filecoder.AEV Trojan
Kaspersky -> HEUR:Exploit.Win32.BypassUAC.b
Malwarebytes -> Ransom.Sicarius
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.14a642b3
TrendMicro -> Ransom.Win64.SICARI.SMPI
---

© Генеалогия: родство выясняется >> Sicari

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2025 г. Ориентирован на англоязычных пользователей, может распространяться в отдельно взятой стране или даже по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: README_SICARII_LOCKED.txt

Содержание записки о выкупе:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_SICARII_LOCKED.txt - название файла с требованием выкупа;

sicarii_wallpaper.bmp - изображение, заменяющее обои Рабочего стола;
Project3.exe, file.exe - названия вредоносных файлов.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\sicarii_wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

sicariifoucvhyqg54smi3esg5sfcyw5z65t6yigqu4loyuoz62bb2id.onion

sicarilxx2br6esqnhad4w26bcgb5j2snbbnhyo4b6t7kby2oy4x3jad.onion

sicari7m63wlggfxajiuonfsk72fgencne5ztzakyuhfxzq5rnbkjead.onion

sicariktdbhjtrk6f2pwdh6wlequw7pcjva25skkzz4m3zz3opyox3qd.onion

sicari7zpu3mtxqggde7mu3ywppntdqg22arcukvlaihjbfcb2rnktid.onion

sicarinb4ktqcdpubjifzw3vixvzgtwacjmc5ks56kev52gxitegigad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b8874058df485767451961e86cf52dce 

SHA-1: 04e18e6a11801456fffade6df99689c54d97d0a6 

SHA-256: 4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2 

Vhash: 0260a6551d15551d151d0193z22z8ehz33z31z91zb7z 

Imphash: b78e76e49402748ad77cc672c513626c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 PaduckLee, Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.