GreenBlood

GreenBlood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. На файле написано: green.exe, sql_update.exe. Распространитель: THE GREEN BLOOD GROUP. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.44290
BitDefender -> Trojan.GenericKD.78769005
ESET-NOD32 -> WinGo/Filecoder.GreenBlood.A Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.afyu
Malwarebytes -> Trojan.Dropper.GO
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
Tencent -> Win32.Trojan-Ransom.Encoder.Ijgl
TrendMicro -> Ransom.Win32.ABBADON.USBLAU26
---

© Генеалогия: родство выясняется >> GreenBlood

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2026 г. и продолжилась в марте 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .tgbg

Записка с требованием выкупа называется: !!!READ_ME_TO_RECOVER_FILES!!!.txt

Записка с требованием выкупа написана на экране блокировки: 
***

Содержание записки о выкупе:

YOUR FILES HAVE BEEN ENCRYPTED!

### TH3 GR33N BL00D GROUP ###

What happened?

All your important files (documents, photos, databases, etc.) have been encrypted 'enc++' using military-grade AES-256 encryption. Your files are now inaccessible and cannot be recovered without our decryption service.

Your unique identifiers:

• Recovery ID:

• Machine ID:

• Date/Time: 2026-01-29 06:48:59

• Files encrypted: .tgbg extension

How to recover your files:

1. Contact Us

2. Provide your Recovery ID and Machine ID

3. Follow the payment instructions (Bitcoin only)

4. After payment confirmation, you will receive the decryption tool

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ_ME_TO_RECOVER_FILES!!!.txt - название файла с требованием выкупа;
green.exe, sql_update.exe -  название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: scbrksw5fgjtujc2ah42roo6bij2unr2tggfcynpbql5a7yp3s22taid[.]onion:8000

Email: thegreenblood@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e760729dcee518659d9510ae1705db51 

SHA-1: f0336d1dad9615f3227bf7750d1cdfd3efa10008 

SHA-256: 12bba7161d07efcb1b14d30054901ac9ffe5202972437b0c47c88d71e45c7176 

Vhash: 0360f6655d15551555757az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ClearWater

ClearWater Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44197
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> Generik.DZGDAZR Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Microsoft -> Ransom:Win64/ClearWate.YBG!MTB
Rising -> Ransom.Agent!1.129F5 (CLASSIC)
TrendMicro -> Ransom_ClearWate.R002C0DAN26
---

© Генеалогия: родство выясняется >> ClearWater (CLEARWATER)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .clear

Записка с требованием выкупа называется: CLEARWATER_README.txt

Содержание записки о выкупе:

Your files have been encrypted by CLEARWATER Ransomware. Unluck :(

Do not attempt decryption or recovery without proper instructions or your data will be lost.

To contact us, write to this TOR address:

hxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion/index.html?chat=409da0d0-125e-4b48-8a3b-6535ffbd4617

And remember, nothing personal, exclusively business!

Have a nice day, jolly Christmas and Happy New Year! :)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CLEARWATER_README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://b6rgpykvtyqah4q5tii25ouevr5g3u2s7pqc24jdlyhrfms3itljtkqd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT 

MD5: d762a79258667ee965a32b2983a4339e 

SHA-1: 2f9dcef2b5a20fefb1a22b8e2b0a93fc0b48e2e4 

SHA-256: 7116b9e0dd107e20cf0169bdd5580a7d5ff0cae1bbdda77d1be92c66c4367901 

Vhash: 0261266d1555655c051d00c3z32z4456lz2fz 

Imphash: 3b90653d18aa7396b0a04211c3c6d3b2

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.