Admin Locker

Admin Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. В качестве гарантии предлагается расшифровать 5 небольших файлов. Для связи предлагается аккаунт в Telegram. Оригинальное название: Admin Locker (указано на сайте, в заголовке страницы). На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Admin Locker

Сайт "ID Ransomware" идентифицирует это как Admin Locker. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам может добавляться одно из следующих расширений: 

.admin1

.admin2

.admin3

.1admin

.2admin

.3admin

Исходное имя файла и его длина хранятся в конце зашифрованного файла. См. пример на скриншоте ниже. 

Записка с требованием выкупа называется: !!!Recovery File.txt

Содержание записки о выкупе:

All of your important files have been encrypted on this PC.

All files are encrypted.

To decrypt your files, you need to get a private key + decryption software.

To get the private key and decrypt software, you need to contact us and send us [YOUR KEY] .

To do this you need to go to the site in darkweb you can only enter through the TOR BROWSER

 you can download it here https://www.torproject.org/download/ 

after you have installed a tor browser open this site

hxxx://adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

It shows you your current contacts. 

Do not use chrome or firefox to access this site. 

The site will not open with a tor browser only.

Our Guarantee. 

We can decrypt several files as a demonstration - you can send us up to 5 files 

up to 5 MB in total weight

and we will send them back to you in their original form for FREE.

How long do I have to wait for the decryption key for the whole PC?

After payment, we will send you the key within minutes.

Your personal ID:

[YOUR KEY] U48pXLpBh***

Attention! Don't lose your money.

write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files. 

Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы на этом компьютере.

Все файлы зашифрованы.

Чтобы расшифровать ваши файлы, вам нужен приватный ключ + программа для расшифровки.

Чтобы получить закрытый ключ и расшифровать программу, вам надо связаться с нами и отправить нам [ВАШ КЛЮЧ].

Для этого нужно зайти на сайт в дарквебе, зайти можно только через TOR BROWSER

 вы можете скачать его здесь https://www.torproject.org/download/

после того, как вы установили браузер tor, откройте этот сайт

hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

Он показывает вам ваши текущие контакты.

Не используйте Chrome или Firefox для доступа к этому сайту.

Сайт может не открыться только в браузере Tor.

Наша гарантия.

В качестве демонстрации мы можем расшифровать несколько файлов - вы можете прислать нам до 5 файлов.

до 5 МБ общим весом

и мы БЕСПЛАТНО отправим их вам в исходном виде.

Как долго мне нужно ждать ключа дешифрования для всего ПК?

После оплаты мы отправим вам ключ в течении нескольких минут.

Ваш личный ID:

[YOUR KEY] U48pXLpBh***

Внимание! Не теряйте свои деньги.

напишите нам лично. если вы попросите кого-нибудь помочь вам в расшифровке, он просто напишет нам вместо вас. и это увеличит наши расходы на их услуги (посредничество). в худшем случае вас обманут. так что пишите лично, так для вас безопаснее. только мы можем расшифровать файлы.

Не пытайтесь изменить файлы и удалить расширение, вы можете потерять его навсегда. если вы пытаетесь расшифровать его самостоятельно, экспериментируйте с копиями, не экспериментируйте с оригиналами.

Другим информатором жертвы является сайт вымогателей. 

Содержание текста на сайте:

If you are reading this text, your files are encrypted!

Actual contact information

Our Guarantee.

We can decrypt several files as a demonstration - you can send us up to 5 files up to 5 MB in total weight and we will send them back to you in their original form for FREE.

Our extensions .admin1 .admin2 .admin3 .1admin .2admin .3admin

How long do I have to wait for the decryption key for the whole PC?

After payment, we will send you the key within minutes.

Attention! Don't lose your money.

write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files.

Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.

Our contacts

If you did not receive an answer in six hours. Check if your contacts have been updated; They could be blocked. We will replace blocked contacts within 6 hours.

CONTACT TELEGRAM MESSAGER

http://t.me/dotADMINbot

DOWNLOAD APP TELEGRAM MESSAGER

https://telegram.org/Apps

Important information.

1.1.2019 Payment is accepted in Bitcoin.

1.1.2021 If you defer payment for a long period of time. The price can double. Do not waste time, write to us to negotiate. We don't bite. We know how to come to a compromise.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!Recovery File.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

userkey.dat - специальный файл; 

!DECRYPT_FILES.txt - название файла с требованием выкупа в других вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

Email: - 
BTC: - 

Telegram: @dotADMINbot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 декабря 2022:

Сообщение >>

Расширение: .1admin

Записка: !DECRYPT_FILES.txt

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WinCrypto

WinCrypto Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WinCrypto Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen3.8291
BitDefender -> Gen:Variant.Razy.976809
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZIR
Kaspersky -> HEUR:Backdoor.MSIL.Bladabindi.gen
Malwarebytes -> Ransom.HiddenTear
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Kryptik.Hrfk
TrendMicro -> TROJ_GEN.R002C0PLC21
---

© Генеалогия: HiddenTear >> WinCrypto

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wincrypto 


Записка с требованием выкупа называется: README WINCRYPTO.txt

Содержание записки о выкупе:

WINCRYPTO RANSOMWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAS BEEN ENCRYPTED!

THE ONLY WAY TO DECRYPT YOUR FILES IS TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE.

TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE GO TO ANY DECRYPTED FOLDER - INSIDE

THERE IS THE SPECIAL FILE 'README WINCRYPTO.TXT' WITH COMPLETE INSTRUCTIONS HOW TO DECRYPT YOUR FILES.

IF YOU CANNOT FIND ANY 'README WINCRYPTO.TXT' FILE AT YOUR PC.

FOLLOW THE INSTRUCTIONS BELOW.

1. DOWNLOAD 'TOR BROWSER' FROM 'HTTPS://TORPROJECT.ORG' AND INSTALL IT.

2. IN THE 'TOR BROWSER' OPEN YOUR PERSONAL PAGE HERE.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

NOTE! THIS PAGE IS AVAILABLE VIA 'TOR BROWSER' ONLY.

      FILE RECOVERY IS IMPOSSIBLE WHEN ANTI-VIRUS IS ACTIVATED AND THIS SOFTWARE IS TERMINATED!

Перевод записки на русский язык:

WINCRYPTO RANSOMWARE

ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!

ЕДИНСТВЕННЫЙ СПОСОБ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — ЭТО ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ.

ЧТОБЫ ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ, ПЕРЕЙДИТЕ В ЛЮБУЮ ЗАШИФРОВАННУЮ ПАПКУ - ВНУТРИ

ЕСТЬ СПЕЦИАЛЬНЫЙ ФАЙЛ «README WINCRYPTO.TXT» С ПОЛНЫМИ ИНСТРУКЦИЯМИ ПО РАСШИФРОВКЕ ВАШИХ ФАЙЛОВ.

ЕСЛИ ВЫ НЕ МОЖЕТЕ НАЙТИ ФАЙЛ «README WINCRYPTO.TXT» НА СВОЕМ КОМПЬЮТЕРЕ.

СЛЕДУЙТЕ ПРИВЕДЕННЫМ НИЖЕ ИНСТРУКЦИЯМ.

1. ЗАГРУЗИТЕ «TOR BROWSER» С «HTTPS://TORPROJECT.ORG» И УСТАНОВИТЕ ЕГО.

2. В «ТОР-БРАУЗЕРЕ» ОТКРОЙТЕ СВОЮ ЛИЧНУЮ СТРАНИЦУ ЗДЕСЬ.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

ПРИМЕЧАНИЕ! ЭТА СТРАНИЦА ДОСТУПНА ТОЛЬКО ЧЕРЕЗ TOR-БРАУЗЕР.

       ВОССТАНОВЛЕНИЕ ФАЙЛОВ НЕВОЗМОЖНО, КОГДА АНТИВИРУС АКТИВИРОВАН И ЭТА ПРОГРАММА ПРЕКРАЩЕНА!

Записка с требованием выкупа написана на экране блокировки. 

Текст аналогичен.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README WINCRYPTO.txt - название файла с требованием выкупа;
WinCrypto Ransomware.exe, RuntimeBroker.exe - названия вредоносного файла; 

sctipt.bat - командный файл; 

check2.py и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: https://wincrypto23xa93ku9234xn.onion/7u2d-23ma-0m8c-m2as

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 27786f44811d4832d01246e529b94320

SHA-1: b31bd516fe0ca01cd139739867ae2c60054dc328

SHA-256: 5c396be42657aecabd75f8be6ac9b3af96fa1243a4a50214b3543617f39d6c5b

Vhash: 24603665151290751750021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Khonsari

Khonsari Ransomware

Khonsari Cover-Ransomware

Log4Shell Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Khonsari Ransomware. На файле написано: FecitAntiques.exe или groenhuyzen.exe. Использует уязвимость Log4Shell. Источником уязвимости является Log4j, библиотека ведения журналов, используемая широким спектром приложений, в частности версиями до 2.14.1. Злоумышленники используют эту уязвимость для установки различных вредоносных программ, включая майнеры криптовалют, ботнеты и даже маяки Cobalt Strike. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31
BitDefender -> Trojan.GenericKD.38255775
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ANF
Malwarebytes -> Ransom.Khonsari
Microsoft -> Ransom:MSIL/Khonsari.A
Rising -> Trojan.Generic/MSIL@AI.91 (RDM.MSIL:VRn24*
Symantec -> Ransom.Khonsari
Tencent -> Msil.Trojan.Encoder.Wsan
TrendMicro -> Ransom.MSIL.KHONSARI.YXBLN
---

© Генеалогия: публичные исходники низкого качества >> Khonsari

Этимология названия:

Вымогатели использовали чужую фамилию Khonsari для названия своей программы-вымогателя и чужую контактную информацию. Поэтому неясно, является ли этот Khonsari реальной жертвой атаки вымогателя или указан с какой-то целью. Упоминая семью Khonsari вымогатели могли иметь ввиду и других представителей фамилии, в том числе известного сценариста и режиссёра компьютерных игр Khonsari. Поиск в Google показывает немало людей с такой фамиией. Более того, название файла FecitAntiques.exe указывает на компанию в Луизиане (США). 

Сайт "ID Ransomware" идентифицирует это как Khonsari. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .khonsari

Записка с требованием выкупа называется: HOW TO GET YOUR FILES BACK.TXT

Содержание записки о выкупе:

Your files have been encrypted and stolen by the Khonsari family.

If you wish to decrypt , call (225) 287-1309 or email karenkhonsari@gmail.com.

If you do not know how to buy btc, use a search engine to find exchanges.

DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.

Your ID is:dmQLVm/tVhClQUxk8LP6***

Перевод записки на русский язык:

Ваши файлы зашифрованы и украдены семьей Хонсари.

Если вы хотите расшифровать, звоните (225) 287-1309 или email на  karenkhonsari@gmail.com.

Если вы не знаете, как купить биткойны, используйте поисковую систему для поиска бирж.

НЕ ИЗМЕНЯЙТЕ И НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЛИ ЛЮБЫЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ВАШИ ФАЙЛЫ НЕВОЗМОЖНО БУДЕТ ВОССТАНОВИТЬ.

Ваш ID: dmQLVm/tVhClQUxk8LP6***

---
Кажется странным, что вымогатели не требуют ничего для себя, не дают никаких контактов для связи, чтобы пострадавшие могли заплатить выкуп и вернуть файлы. По этой причине программу-вымогатель уже назвали вайпером (wiper), который просто портит файлы. Но на самом деле злоумышленники имеют вполне определённые цели. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Подробная информация о применении уязвимости Log4Shell и срабатывании, описана в статье Bitdefender. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ После запуска вредоносный файл перечислит все диски и зашифрует их полностью, кроме диска C:\. 

На диске C:\ будут зашифрованы только следующие пользовательские папки:

C:\Users\User\Documents

C:\Users\User\Videos

C:\Users\User\Pictures

C:\Users\User\Downloads

C:\Users\User\Desktop

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Файлы с расширениями .ini и .lnk игнорируются.

➤ Пытается установит майнер криптовалюты XMRig. По этой причине я отношу Khonsari к Cover-Ransomware (CRW, CRw). Я ввел в Дайджесте новое название "Cover-Ransomware" для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, без выделения в отдельный вид. Другие Cover-Ransomware: CoronaVirus Ransomware, Sadogo Ransomware, ShadowCryptor Ransomware. 

Файлы, связанные с этим Ransomware:
HOW TO GET YOUR FILES BACK.TXT - название файла с требованием выкупа;
FecitAntiques.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\FecitAntiques.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Phone: (225) 287-1309

Email: karenkhonsari@gmail.com

URL: hxxx://3.145.115.94/Main.class

hxxx://3.145.115.94/zambo/groenhuyzen.exe

hxxx://3.145.115.94/zambos_caldo_de_p.txt

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6ac57a1e090e7abdb9b7212e058c43c6

SHA-1: 0a1e239348a73b1a95ac1767c8afebe4b98cdeff

SHA-256: f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

Vhash: 214036551511a082e60020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 Ransomware Advisory: Log4Shell

 Thanks: 
 dnwls0719, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Doitman

Doitman Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Doitman и Doitman.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34692
BitDefender -> Trojan.GenericKD.47601004
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XF
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Cryptor.Ecac
TrendMicro -> Ransom.MSIL.DOITMAN.THLAOBA
---

© Генеалогия: ??? >> Doitman

 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам никакое расширение не добавляется, но файл переименовываются набором цифр и букв в верхнем регистре.

Пример зашифрованного файла: 7663726564697374323031305F7836342E6C6F672E68746D6C

Записка с требованием выкупа называется: !!ReadmeForHelp!!.txt

Содержание записки о выкупе:

Your files are encrypted!

YOUR PERSONAL ID rJRMCpqvFjP6UJrNQ6c6JG2hjyUbdXrQV9I*****

For get instructions to decrypting files  write to email 

kramexfile@tuta.io or helpsforyou@mail.ru

If you have not received a response within an hour,

or our mail is blocked, write to this email crusetfile@protonmail.com

 

Перевод записки на русский язык:

Ваши файлы зашифрованы!

ВАШ ЛИЧНЫЙ ID rJRMCpqvFjP6UJrNQ6c6JG2hjyUbdXrQV9I*****

Чтобы получить инструкции по расшифровке файлов, напишите на email

kramexfile@tuta.io или helpforyou@mail.ru

Если вы не получили ответа в течение часа,

или наша почта заблокирована, пишите на email crusetfile@protonmail.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!ReadmeForHelp!!.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;  

Doitman.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kramexfile@tuta.io, helpsforyou@mail.ru, crusetfile@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f28ac8c53e1776f0bb151bfe969cb50c

SHA-1: ac6d92aa5213bf0431999688f63c37d72a6206bf

SHA-256: e95902e83c3cd7ceef665f91faba200dd487a073996e34ae3f041a00d0a061a5

Vhash: 21505f76551516180a1d11010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.