RedAlert, N13V

RedAlert Ransomware

N13V Ransomware

RedAlert Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные серверов Windows и Linux VMWare ESXi с помощью алгоритма NTRU (криптосистема с открытым ключом NTRUEncrypt), а затем требует выкуп в # BTC, чтобы вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте, если пострадавшие не свяжутся с ними в течении 72 часов. Оригинальное название: N13V. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35562
BitDefender -> Trojan.RedAlert.A
ESET-NOD32 -> A Variant Of Linux/Filecoder.RedAlert.A
Kaspersky -> UDS:Trojan-Ransom.Linux.RedAlert.a
Microsoft -> Trojan:Script/Wacatac.B!ml, Ransom:Linux/RedAlert.A!MTB
Rising -> Ransom.RedAlert/Linux!8.160E2 (CLOUD)
Tencent -> Linux.Trojan.Redalert.Eera
TrendMicro -> Trojan.Linux.REDALERT.USELVG622
---

© Генеалогия: родство выясняется >> RedAlert (N13V)

Сайт "ID Ransomware" это идентифицирует как RedAlert. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. или даже раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crypt658

Возможно, расширение может быть другим и меняться для каждой жертвы. 

Записка с требованием выкупа называется: HOW_TO_RESTORE

Содержание записки о выкупе:

Hello, www.site-name

Your network was penterated

We have encrypted your files and stole large amount of sensitive data, including:

- NDA contracts and data

- Financial documents, payrolls, bank statements

- Employee data, personal documents, SSN, DL, CC

- Customer data, contracts, purchase agreements, etc.

- Credentials to local and remote devices

And more...

Encryption is reverssible process, your data can be easily recovered with our help

We offer you to purchase special decryption software, payment includes decryptor, key for it and erasure of stolen data

If you understand all seriousness of this sutation and ready to cooperate with us, follow the next steps:

1) Download TOR Browser from https://torproject.org

2) Install and launch TOR Browser

3) Visit our webpage: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

On our webpage you will be able to purchase decryptor, chat with our support and decrypt few files for free

If you won't contact us in 72h we will start publishing stolen data in our blog part by part, DDoS site of your company and call employees of your company

We have analyzed financial documentation of your company so we will offer you the appropriate price

To avoid data loss and rising of the additional costs:

1) Don't modify contents of the encrypted files

2) Don't inform local authorities about this incident before the end of our deal

3) Don't hire recovery companies to negotiate with us

We guarantee that our dialogue will remain private and third-parties will never know about our deal

\%\%\%\%\%\%\%\%\%\%\%\%\%\%\% REDALERT UNIQUE IDENTIFIER START \%\%\%\%\%\%\%\%\%\%\%\%\%\%\%

Перевод записки на русский язык:

Привет, www.имя-сайта

Ваша сеть пенетрирована

Мы зашифровали ваши файлы и украли большое количество конфиденциальных данных, в том числе:

- Контракты и данные NDA

- Финансовые документы, платежные ведомости, банковские выписки

- Данные сотрудников, личные документы, SSN, DL, CC

- Данные клиентов, контракты, договоры купли-продажи и т. д.

- Учетные данные для локальных и удаленных устройств

И более...

Шифрование является обратимым процессом, ваши данные можно легко восстановить с нашей помощью

Предлагаем приобрести специальную программу для расшифровки, в оплату входит расшифровщик, ключ к нему и стирание украденных данных

Если вы понимаете всю серьезность этой ситуации и готовы сотрудничать с нами, выполните следующие действия:

1) Скачайте TOR браузер с https://torproject.org

2) Установите и запустите TOR браузер.

3) Посетите наш веб-сайт: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

На нашей веб-странице вы сможете приобрести дешифратор, пообщаться с нашей службой поддержки и бесплатно расшифровать несколько файлов.

Если вы не свяжетесь с нами в течение 72 часов, мы начнем по частям публиковать украденные данные в нашем блоге, DDoS-сайте вашей компании и звонить сотрудникам вашей компании.

Мы проанализировали финансовую документацию вашей компании, поэтому предложим вам подходящую цену

Во избежание потери данных и увеличения дополнительных расходов:

1) Не изменяйте содержимое зашифрованных файлов

2) Не сообщайте местным властям об этом происшествии до окончания нашей сделки

3) Не нанимайте компании по восстановлению для ведения переговоров с нами.

Мы гарантируем, что наш диалог останется приватным и третьи лица никогда не узнают о нашей сделке.

\%\%\%\%\%\%\%\%\%\%\%\%\%\%\% REALERT УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР ЗАПУЩЕН \%\%\%\%\%\%\%\% \%\%\%\%\%\%\%

Скриншоты с сайта вымогателей:

Содержание первой страницы сайта:

YOUR NETWORK WAS PENETRATED

Your files are encrypted

Our system will automatically provide you decryptor and erase all stolen data on our servers

Any attempts to recover files using 3-rd party decryption software may lead to permanent data loss

Your data was stolen

We stole large amount of sensitive data from your network

We are going to sell your data or publish it in our blog

Your company will suffer big reputation losses

More then 100 people visiting our blog everyday

After publishing we inform the media about this attack

Now price is

1325.1200 XMR

-20%

$160000.0

Without discount

1656.4000 XMR

$200000

Discount ends in

03:07:59:56

Instructions  Live-chat  Data Breach

Send 1325.1200 XMR to the following XMR address:

Click to copy  

8ACXEsCf1iSSFm6czaRWz7RKLzKAPbTX2R9U1NGtYy5RUqrfHKsGRPqRNEEkFuxqTuMAkfj6wcKzp6eqT12PwXgJQxbVz6W

Create Monero (XMR) wallet

Deposit 1325.1200 XMR to your wallet

Transfer 1325.1200 XMR to payment address

Wait for 10 confirmations of your transaction on XMR network

Our system will automatically provide you decryptor and erase all stolen data on our server

If something goes wrong - text us in our chat

Содержание страницы "Board of shame":

syredis.fr

Data published

We have easily hacked corporate network of syredis.fr and downloaded more then 300 GB of sensitive data, including: - Customer data, contracts, credentials to local and remote devices in networks of customers of this company - Employee data, SSN, DL, CC - Financial documents, payrolls, banking statements - And more.... Network was hacked due very low level of security and incompetence of system administrator of syredis.fr. Also we have downloaded data from networks of customers of syredis.fr, we will attach links to data to this post :)

---

По нашим данным среди пострадавших есть несколько сайтов:

syredis.fr

www.wiensued.at

Но на странице сайта вымогателей опубликован пока только один: 

syredis.fr

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Скриншоты запуска на VMware:

Скриншоты из теста Bleeping Computer: 

Программа-вымогатель получила название RedAlert на основе последней строки, использованной в записке. Однако в результате теста из шифровальщика для Linux, полученного BleepingComputer, было получено название N13V. 

 

 

Шифровальщик для серверов Linux VMWare ESXi запускается с параметрами командной строки, которые позволяют злоумышленникам выключать любые работающие виртуальные машины перед шифрованием файлов.

Полный список параметров командной строки см. ниже.

-w  Run command for stop all running VM`s

-p   Path to encrypt (by default encrypt only files in directory, not include subdirectories)

-f   File for encrypt

-r   Recursive. used only with -p ( search and encryption will include subdirectories )

-t   Check encryption time(only encryption, without key-gen, memory allocates ...)

-n   Search without file encryption.(show ffiles and folders with some info)

-x   Asymmetric cryptography performance tests. DEBUG TESTS

-h   Show this message

Список типов файлов, подвергающихся шифрованию:
Только файлы, связанные с виртуальными машинами VMware ESXi, включая файлы журналов, файлы подкачки, виртуальные диски и файлы памяти:

.log, .vmdk, .vmem, .vswp, .vmsn

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE - название файла с требованием выкупа;
redalert.exe - название вредоносного файла для Windows;

elf-файл - для Linux VMWare ESXi

Скриншоты частей кода: 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

Email: -
XMR (Monero): 8ACXEsCf1iSSFm6czaRWz7RKLzKAPbTX2R9U1NGtYy5RUqrfHKsGRPqRNEEkFuxqTuMAkfj6wcKzp6eqT12PwXgJQxbVz6W

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f2fa9a3ce883a7f5b43ba5c9ff7bdf75

SHA-1: da6a7e9d39f6a9c802bbd1ce60909de2b6e2a2aa

SHA-256: 039e1765de1cdec65ad5e49266ab794f8e5642adb0bdeb78d8c0b77e8b34ae09

Vhash: e8adfad3b48440fe2975b62ba923fced

SSDEEP: 6144:65LjX/bdHB/q496k3amhqGDbQdnm2ENgJF7v+YT:I/DdHB/ukSokFgSv+YT

TLSH: T129846B0FFFA1CE5BC49943B188AF87667738D07CA7999723335991346C077E89E06A44

File type: ELF

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Lawrence Abrams, ланук
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lilith

Lilith Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Lilith. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35547
BitDefender -> Trojan.GenericKD.49307970
ESET-NOD32 -> A Variant Of Win64/Filecoder.FC
Kaspersky -> Trojan-Ransom.Win32.Encoder.rqk
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win64/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Encoder.Pgwf
TrendMicro -> Ransom.Win64.LILITHCRYPT.YECGD
---

© Генеалогия: родство выясняется >> Lilith

Сайт "ID Ransomware" это идентифицирует как Lilith. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lilith

Записка с требованием выкупа называется: Restore_Your_Files.txt

Содержание записки о выкупе:

All your important files have been encrypted and stolen!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you don't contact within three days, we'll start leaking data.

1) Contact our tox.

Tox download address: https://tox.chat/

Our poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы и украдены!

Свяжитесь с нами, чтобы узнать цену и получить программу для расшифровки.

У вас есть 3 дня, чтобы связаться с нами для переговоров.

Если вы не свяжетесь в течение трех дней, мы начнем слив данных.

1) Свяжитесь с нашим tox.

Адрес загрузки Tox: https://tox.chat/

Наш poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он откроет сайт Tor.

2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.

3. Теперь у вас есть браузер Tor. В браузере Tor откройте:

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Скриншот сайта вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перед шифрованием завершает процессы, которые могут помешать шифрованию. Шифрование выполняется с использованием криптографического API Windows, а функция Windows CryptGenRandom генерирует случайный ключ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых файлов и папок: 

.dll, .exe, .sys

Restore_Your_Files.txt

All Users, Windows, Windows.old, Program files, Program files (x86), ProgramData, $Recycle.Bin, ntldr, boot-файлы системы, ntuser-файлы и пр.

Internet Explorer, Google, Opera, Mozilla, Tor Browser и пр. 

ecdh_pub_k.bin - локальный открытый ключ, используемый в вымогателях на основе Babuk Ransomware. 

Файлы, связанные с этим Ransomware:
Restore_Your_Files.txt - название файла с требованием выкупа;
f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5.exe  - случайное название вредоносного файла;

PI1J3.txt - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b7a182db3ba75e737f75bda1bc76331a

SHA-1: cf0fe28214ad4106c48ec5867327319eaa82b3c3

SHA-256: f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5

Vhash: 025086655d55551515555088z6b!z

Imphash: 261a21398ec064ef3b57c9095d03d0e8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Added later: Write-up

 Thanks: 
 JAMESWT, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlueSky

BlueSky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма ChaCha20 и эллиптической кривой Curve25519, а затем требует выкуп в 0.1-0.2 BTC, чтобы получить BlueSky Decryptor и расшифровать файлы. Оригинальное название: BlueSky. На файле написано: javaw.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35508
BitDefender -> Gen:Variant.Lazy.202657
ESET-NOD32 -> A Variant Of Win32/Filecoder.OLQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.rpb
Malwarebytes -> Malware.AI.106070570
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Trojan.Generic@AI.98 (RDML:Jeu*
Tencent -> Win32.Trojan.Filecoder.Wtdk
TrendMicro -> Ransom_Conti.R06CC0DFQ22
---

© Генеалогия: Conti + разный код >> BlueSky

Сайт "ID Ransomware" идентифицирует это как BlueSky. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .bluesky

Записки с требованием выкупа называются: 

# DECRYPT FILES BLUESKY #.txt

# DECRYPT FILES BLUESKY #.html

Содержание записки о выкупе:

<<< B L U E S K Y >>>

YOUR IMPORTANT FILES, DOCUMENTS, PHOTOS, VIDEOS, DATABASES HAVE BEEN ENCRYPTED!

The only way to decrypt and restore your files is with our private key and program.

Any attempts to restore your files manually will damage your files.

To restore your files follow these instructions:

--------------------------------------------------------------

1. Download and install "Tor Browser" from https://torproject.org/

2. Run "Tor Browser"

3. In the tor browser open website:

   hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

4. On the website enter your recovery id:

RECOVERY ID: 2898c3f96b33f5899772*** (240 characters total)

5. Follow the instructions

---

Перевод записки на русский язык:

<<< B L U E S K Y >>>

ВАШИ ВАЖНЫЕ ФАЙЛЫ, ДОКУМЕНТЫ, ФОТО, ВИДЕО, БАЗЫ ДАННЫХ ЗАШИФРОВАНЫ!

Единственный способ расшифровать и восстановить ваши файлы — использовать наш закрытый ключ и программу.

Любые попытки восстановить ваши файлы вручную повредят ваши файлы.

Чтобы восстановить файлы, следуйте этим инструкциям:

-------------------------------------------------- ------------

1. Загрузите и установите "Tor Browser" с https://torproject.org/

2. Запустите "Tor Browser"

3. В tor барузере откройте сайт:

hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

4. На сайте введите свой id восстановления:

ID ВОССТАНОВЛЕНИЯ: 2898c3f96b33f5899772*** (всего 240 символов)

5. Следуйте инструкциям

---

Скриншот сайта вымогателей: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ BlueSky использует stage.ps1 (сценарий PowerShell) для проверки прав привилегированного пользователя, для повышения локальных привилегий в зависимости от версии операционной системы хоста, для загрузки модифицированной версии  JuicyPotato, для работ на более старых, чем Windows 10, версий системы. Если хост работает под управлением Windows 10 или 11, скрипт загрузит и выполнит ghost.exe и spooler.exe, чтобы использовать уязвимости локального повышения привилегий CVE-2020-0796 и CVE-2021-1732 соответственно.

Получив дополнительные привилегии, stage.ps1 загружает последнюю полезную нагрузку BlueSky с hxxxs://kmsauto[.]us/someone/l.exe и сохраняет ее локально в файловой системе как javaw.exe , пытаясь маскироваться под законное приложение Windows. В итоге этот файл выполняется из %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe

➤ BlueSky создает уникальный ID пользователя, вычисляя хэш MD5 для комбинированных значений Volume Information, Machine GUID, Product ID и Install Date. Кроме того, он использует тот же ID для создания мьютекса Global\<32-byte ID> .

➤ BlueSky использует многопоточную очередь для шифрования. Он запускает несколько потоков — один отвечает за шифрование файлов, другой — за перечисление файлов в локальной файловой системе и подключенных сетевых ресурсах для добавления в очередь. Он использует Curve25519 для генерации открытого ключа для хоста и генерирует общий ключ с открытым ключом злоумышленника. После создания пары ключей эллиптической кривой BlueSky вычисляет хэш общего ключа и использует его для создания ключа шифрования файла для алгоритма ChaCha20. Затем он считывает файловый буфер, шифрует его с помощью ChaCha20 и заменяет содержимое исходного файла.

Список типов файлов, подвергающихся шифрованию:
Почти все типы популярных файлов, кроме тех, что находятся в списках исключений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, которые используются самим BlueSky:

.386, .adv, .ani, .bat, .bin, .bluesky, .cab, .cmd, .com, .cpl, .cur, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .ini, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .wpx

Имена каталогов, исключенные из шифрования:

$recycle.bin, $windows.~bt, $windows.~ws, boot, windows, windows.old, system volume information, perflogs, programdata, program files, program files (x86), all users, appdata, tor browser

Имена файлов, исключенные из шифрования:

# decrypt files bluesky #.txt, # decrypt files bluesky #.html, ntuser.dat, iconcache.db, ntuser.dat.log, bootsect.bak, autorun.inf, bootmgr, ntldr, thumbs.db

Файлы, связанные с этим Ransomware:

# DECRYPT FILES BLUESKY #.txt - название файла с требованием выкупа; 

# DECRYPT FILES BLUESKY #.html - название файла с требованием выкупа; 

javaw.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://kmsauto.us/

Tor-URL: hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d8a44d2ed34b5fee7c8e24d998f805d9

SHA-1: d8369cb0d8ccec95b2a49ba34aa7749b60998661

SHA-256: 3e035f2d7d30869ce53171ef5a0f761bfb9c14d94d9fe6da385e20b8d96dc2fb

Vhash: 0740366d755"z

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2023:

Сообщение на форуме >>
Расширение: .bluesky

Записка: # DECRYPT FILES BLUESKY #.txt
URL: hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion
Кажется в этих данных ничего не изменилось.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Extended overview

 Thanks: 
 xiaopao, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.