Lalia Ransomware
LaliaLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями для уплаты выкупа, чтобы вернуть файлы. Оригинальное название: LALIA Ransomware. На файле написано: 5ptcbui0x.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.45055
BitDefender -> Trojan.GenericKD.80105176
ESET-NOD32 -> Win64/Filecoder.TV Trojan
Kaspersky -> Trojan.Win32.DelShad.qci
Malwarebytes -> Ransom.FileCryptor
Microsoft -> ***
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Ytjl
TrendMicro -> Trojan.Win32.ZYX.USBLEB26
---
© Генеалогия: родство выясняется >> Lalia (LaliaLocker)
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в начале мая 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .lalia
Записка с требованием выкупа называется: RECOVERY_INFO.tx
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RECOVERY_INFO.tx - название файла с требованием выкупа;
Записка с требованием выкупа называется: RECOVERY_INFO.tx
Содержание записки о выкупе:
ATTENTION! Your files have been encrypted by LALIA Ransomware.
Sensitive data has been exfiltrated. Do not attempt to decrypt files yourself - this will lead to irreversible data loss and information leak.
WHAT YOU MUST NOT DO:
- Do not use recovery tools
- Do not rename files
- Do not contact law enforcement
To make sure that we REALLY CAN recover data - we offer you to decrypt samples.
You have 72 hours to contact us on qTox:
qTox ID: 7F21082F19B6EB818083A9920D654533FB9CA***
Download qTox: https://github.com/qTox/qTox/releases
Your Chat ID for verification: G123G*****
After deadline your data will be sold or published. Follow our instructions to avoid reputational losses.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RECOVERY_INFO.tx - название файла с требованием выкупа;
lalia.log - файл для записи логов;
5ptcbui0x.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
5ptcbui0x.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\lalia.log
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 7c6d94c71f5fcedde20fa05a7ab3dc07
SHA-1: c1a0ed6fe8a88c61a13a3c597be12357819d7bcc
SHA-256: 7b7e7ef365fb79ba95e27d96c4084b93fc84b05b34bf9c42bd46029fa3dc9dd9
Vhash: 0750a66d1555555c055d0049z91a1z4@z
Imphash: da270f0a2a2e38cb99bfa1b7a2f43d40
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: pcrisk Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.