Killada

Killada Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20-GNACH, а затем требует выкуп в 0.1111 BTC, чтобы вернуть файлы. Оригинальное название: Killada Ransomware. На файле написано: killada.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44675
BitDefender -> Trojan.GenericKD.79799674
ESET-NOD32 -> Win64/Filecoder.ALU Trojan
Kaspersky -> Trojan-Ransom.Win32.Encoder.agut
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Stealer.Greedy!8.133BA (CLOUD)
Tencent -> Win32.Trojan-Ransom.Encoder.Nqil
TrendMicro -> TROJ_FRS.VSNTCV26
---

© Генеалогия: родство выясняется >> Killada 

Сайт "ID Ransomware" Killada пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: KILLADA_README.txt

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLADA_README.txt - название файла с требованием выкупа;
killada.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: killadaayyuzdshwskrnsvh5owzuwa4yj7gs2vbhkcjpfslrplfgwwqd[.]onion

killadaxczzw3wnuaxkygib67lk2qkgnki4gyjqoo76vh53egitoyaqd[.]onion

killadax36r6bbb3md67ekcfv5yasdlnoaklyag66ot4tefa32ywgnyd[.]onion

killadahaynpqrkppe2m2tgindbruaeiefzr7pm3cp47tzohhhnogwad[.]onion

killada7qgdpvzpezjxaa64b47bz47hzbn6oql5aa4lppzzwymnukqqd[.]onion

killada5556ahpb4cwmatv5qpzku2qmdlwawshtykpq37cvfva7zjhid[.]onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f444568cedf788ef157356fea05bcc49

SHA-1: d449bd9a79062729e9a60064ed32ca8669d4a525

SHA-256: 75c4d15bddcd401088d1a9f0a3364382482ea0689427526a5d0919b375a9779c

Vhash: 055066655d155d055095zb00793z5hz6fz

Imphash: 53b37c3b9f37d7f06071a7dd9d5e5333

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Exitium

Exitium Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Exitium Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.44626 / same
BitDefender -> Gen:Heur.Bodegun.23 / same
ESET-NOD32 -> Win64/Agent_AGen.EMB Trojan / same
Kaspersky -> Trojan-Ransom.Win32.Encoder.agqi / same
Malwarebytes -> Ransom.FileCryptor / same
Microsoft -> Trojan:Win32/Qwexlafiba!rfn / Ransom:Win32/Genasom
Rising -> Malware.Undefined!8.C (TFE:5:eGHwWIbSYQU) / Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Malware.Win32.Gencirc.14abd114 / Malware.Win32.Gencirc.14abf139
TrendMicro -> Ransom.Win64.EXITIUM.THCBEBF / same
---

© Генеалогия: родство выясняется >> Exitium

Сайт "ID Ransomware" Exitium пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце марта 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .exitium


Записка с требованием выкупа называется: YOU ARE UNDER ATTACK!.html

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOU ARE UNDER ATTACK!.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, TG 

MD5: 21e3ee033f416297165ed67f68382e3f

SHA-1: 4d65238e1b1013a769824320b3b7d26905590fc8

SHA-256: c369df262b5c786b950a0e412cd93a9da9a22e0048dcc8ff88197a3f3d2266e5

Vhash: 085066655d155555519z891z23z6055z13z25za7z

Imphash: 3fd8e3eb9785b233860b41f061374cc6

---

IOC: VT, TG 

MD5: 6a0a21bf4f3140148bdf905a20446820

SHA-1: 4ab3a3f85198cb8a18b0c5923abed054c2a85b1a

SHA-256: 522c9f8d614818b2c0489763144648fcfdf7202f1e9c413f59683fa23373b7ea

Vhash: 085066655d155555519z891z23z6055z13z25za7z

Imphash: 3fd8e3eb9785b233860b41f061374cc6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.