Lalia

Lalia Ransomware

LaliaLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями для уплаты выкупа, чтобы вернуть файлы. Оригинальное название: LALIA Ransomware. На файле написано: 5ptcbui0x.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.45055
BitDefender -> Trojan.GenericKD.80105176
ESET-NOD32 -> Win64/Filecoder.TV Trojan
Kaspersky -> Trojan.Win32.DelShad.qci
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lalia.ALI!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Ytjl
TrendMicro -> Trojan.Win32.ZYX.USBLEB26
---

© Генеалогия: родство выясняется >> Lalia (LaliaLocker)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале мая 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lalia

Записка с требованием выкупа называется: RECOVERY_INFO.tx

Содержание записки о выкупе:

ATTENTION! Your files have been encrypted by LALIA Ransomware.

Sensitive data has been exfiltrated. Do not attempt to decrypt files yourself - this will lead to irreversible data loss and information leak.

WHAT YOU MUST NOT DO:

- Do not use recovery tools

- Do not rename files

- Do not contact law enforcement

To make sure that we REALLY CAN recover data - we offer you to decrypt samples.

You have 72 hours to contact us on qTox:

qTox ID: 7F21082F19B6EB818083A9920D654533FB9CA***

Download qTox: https://github.com/qTox/qTox/releases

Your Chat ID for verification: G123G*****

After deadline your data will be sold or published. Follow our instructions to avoid reputational losses.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY_INFO.tx - название файла с требованием выкупа;

lalia.log - файл для записи логов; 
5ptcbui0x.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%TEMP%\lalia.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7c6d94c71f5fcedde20fa05a7ab3dc07

SHA-1: c1a0ed6fe8a88c61a13a3c597be12357819d7bcc

SHA-256: 7b7e7ef365fb79ba95e27d96c4084b93fc84b05b34bf9c42bd46029fa3dc9dd9

Vhash: 0750a66d1555555c055d0049z91a1z4@z

Imphash: da270f0a2a2e38cb99bfa1b7a2f43d40

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sorry 2026

Sorry 2026 Ransomware

SorryGo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сайтах и Linux-серверах помощью комбинации алгоритмов AES+RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Сообщение от вымогателей внедряется в код веб-сайта и показывается на страницах и в некоторых случаях многократно повторяется. Оригинальное название: в записке не указано. Написан на языке программирования Go. 

---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Sorry 2026 (SorryGo)

Сайт "ID Ransomware" пока отдельно Sorry 2026 Ransomware не идентифицирует. Старая идентификация по расширению .sorry связана с Sorry HT Ransomware (2018 г.), который основан на HiddenTear. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце апреля — начале мая 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sorry

Записка с требованием выкупа называется: README.md

Содержание записки о выкупе:

Please contact us through the qtox tool

Download qtox hxxxs://github.com/qTox/qTox/blob/master/README.md#qtox 

If you can't contact us, please contact some data recovery company(suggest taobao.com), may they can contact to us.

Add our TOX ID and send an encrypted file and 'Sorry-ID' for testing decryption.

Our TOX ID: 3D7889AEC00F2325***

Примеры того, как сообщение от вымогателей внедряется в код веб-сайта и показывается на его страницах.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Внедряется через выявленную уязвимость в WHM (WebHost Manager).

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.md - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, jbbjunior
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.