Unlocker

Unlocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Unlocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock

Фактически используется составное расширение по шаблону: .[<email>].lock

В данном случае полное расширение: .[unlocker@onionmail.org].lock

Записка с требованием выкупа называется: ALL_YOUR_FILES_ARE_ENCRYPTED.TXT

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: unlocker@onionmail.org and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

Write to email: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

***

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы сможете расшифровать его сами! Единственный способ вернуть файлы — приобрести уникальный закрытый ключ.

Только мы можем дать вам этот ключ и только мы можем вернуть ваши файлы.

Чтобы убедиться, что у нас есть расшифровщик и он работает, вы можете отправить письмо на адрес: unlocker@onionmail.org и расшифровать один файл бесплатно.

Но этот файл не должен быть ценным!

Вы правда хотите восстановить файлы?

Пишите на почту: unlocker@onionmail.org

Резервный адрес email: unlockersuport@msgsafe.io

Telegram: @unlockersupport

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может навсегда испортить данных.

* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ALL_YOUR_FILES_ARE_ENCRYPTED.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @unlockersuport

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io
BTC: -  

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 марта 2022:

Сообщение >>

Расширение: .lock

Расширение (новый шаблон): .[<email>].[ID].lock
Расширение (пример): .[unlocker@onionmail.org].[5MKlY].lock
Записка: README_WARNING.TXT

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io

Telegram: @unlockersuport

➤ Содержание записки: 

Hey!

Can I recover my files? Sure. We guarantee that you can recover all your files easily and safely! But you have to be fast!. How quickly you pay, how quickly all your data will be returned, as before encryption.

To contact write to the mail: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

ATTENTION !!!

Do not rename encrypted files.

Do not try to decrypt your data using third party software - this may result in permanent data loss.

We are always ready to cooperate and find the best way to solve your problem.

The sooner you write, the better the conditions will be for you.

Our company values ​​its reputation. We give all guarantees of decryption of your files.

Your personal ID: *****

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Zeon

Zeon Ransomware

Zeon Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует посетить сайт вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте. Оригинальное название: Zeon, Zeon strain, Zeon Ransomware. На файле написано: FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe. Написан на языке Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.54
BitDefender -> Trojan.GenericKD.38938300
ESET-NOD32 -> Python/Filecoder.JW
Kaspersky -> Trojan-Ransom.Win32.Agent.baom
Malwarebytes -> Ransom.Zeon
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> while expected
Symantec -> Trojan Horse
Tencent -> while expected
TrendMicro -> Ransom.Win32.ZEON.THBAOBB
---

© Генеалогия: ??? >> Zeon

Сайт "ID Ransomware" идентифицирует это как Zeon. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Одно из ранних сообщений появилась в конце января. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .zeon

Записка с требованием выкупа называется: re_ad_me.txt

Содержание записки о выкупе:

All of your files are currently encrypted by ZEON strain. 

As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly. 

If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value.

To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge.

You can contact our team directly for further instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

YOU SHOULD BE AWARE!

Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible.

---BEGIN ID---

FEVcmTbQIx9X2VMynNFOZ3c***

---END ID---

Перевод записки на русский язык:

Все ваши файлы теперь зашифрованы ZEON штаммом.

Как вы знаете (если нет - просто "погуглите"), все данные, которые были зашифрованы нашей программой, не могут быть восстановлены никакими средствами без прямого обращения к нашей команде.

Если вы попытаетесь использовать какие-либо дополнительные программы для восстановления - файлы могут быть повреждены, поэтому, если вы хотите попробовать - попробуйте его на данных с наименьшим значением.

Чтобы убедиться, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать 2 случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ТОР ВЕРСИЯ:

(сначала надо скачать и установить браузер TOR https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

ВЫ ДОЛЖНЫ ЗНАТЬ!

На всякий случай, если вы попытаетесь нас игнорировать. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите. Поэтому для обеих сторон будет лучше, если вы напишите нам поскорее.

***

Скриншоты с сайта вымогателей. На момент написания статьи в чате никому "поддержка" не оказывалась. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
re_ad_me.txt - название файла с требованием выкупа;
FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe - название вредоносного файла; 

Файлы pyd: _Salsa20.pyd, _ec_ws.pyd, _raw_eksblowfish.pyd и другие. 

Файлы dll: python39.dll, libcrypto-1_1.dll, VCRUNTIME140.dll и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 33f612338b6b5e6b4fe8cbb17208795c

SHA-1: 66535700bbce7f90d2add7c504bc0e0523d4d71d

SHA-256: c860bf644bd5e3d6f4cae67848c4fc769184ae652fcb41cac670042b185d217a

Vhash: 076056655d1555604013z3005dmz11fz

Imphash: bdaa4f11fa75ae7944b223ba584c1f57

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MonaLisa

MonaLisa Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымоагтелей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: 3.exe, xy72vx8rk.dll, 4.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34934, Trojan.Encoder.34961
BitDefender -> Gen:Trojan.ExplorerHijack.JuW@ay6pbsii, Gen:Trojan.ExplorerHijack.JuW@a0crHtei
ESET-NOD32 -> Win32/Filecoder.OKA, A Variant Of Win32/Filecoder.OKA
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.2890321610
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!1.DBBD (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Akfo, Win32.Trojan.Filecoder.Wskk
TrendMicro -> Ransom_Paradise.R002C0DBA22, Ransom_Paradise.R002C0DBB22
---

© Генеалогия: ??? >> MonaLisa

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 

.barrel

.nekochan

Фактически используется составное расширение по шаблону: 

.[<email>].extension

Известные варианты на момент напсиания статьи: 

.[m0na.l1sa@onionmail.org].barrel

.[m0na.l1sa@onionmail.org].nekochan

Записки с требованием выкупа называются: 
info.txt

info.hta

Содержание записки info.txt:

You are infected! This means your files are locked!

You want to recover them?

Contact us at m0na.l1sa@onionmail.org

Перевод записки на русский язык:

Вы заражены! Это значает ваши файлы блокированы!

Вы хотите вернуть их?

Напишите нам на m0na.l1sa@onionmail.org

Содержание записки info.hta:

YOUR FILES ARE ENCRYPTED

PLEASE READ THIS MESSAGE CAREFULLY

Don't worry, you can return all your files!

If you want to restore them, write to the mail:m0na.l1sa@onionmail.org YOUR ID 0AA41***

You have to specify your ID in the subject of your message.

ATTENTION!

We recommend you contact us directly to avoid overpaying agents

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

ВНИМАТЕЛЬНО ПРОЧТИТЕ ЭТО СООБЩЕНИЕ

Не волнуйтесь, вы можете вернуть все свои файлы!

Если вы хотите их восстановить, пишите на почту: m0na.l1sa@onionmail.org ВАШ ID 0AA41***

В теме сообщения нужно указать свой ID.

ВНИМАНИЕ!

Мы рекомендуем вам прямо написать нам, чтобы не платить агентам

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц повысит цену (они добавляют свою цену к нашей) или вы станете жертвой мошенников.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует библиотеку Crypto++. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

info.txt - название файла с требованием выкупа; 

info.hta - название файла с требованием выкупа; 

3.exe, xy72vx8rk.dll (4.exe) - названиz вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0na.l1sa@onionmail.org 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6bc637edc08c18457647c02d9957fa18

SHA-1: d73c673ddcb0e6bbc1412dde3cad782abf516572

SHA-256: ab668490afd212d8a5847a57c77e2c4dac6f8dd0c2d0b9c08ae833d7fa61988e

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

--- 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7b98b5055e8fbb6b3710b79889943971

SHA-1: 820f17fb630ee3ff68857475d73086e40f200c5b

SHA-256: 4c25916319363e88f60ad6d7b6a66f5a737cb9ce8a2045f656e9dbc272115bea

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 34ee49b8b1e5ac3c1c5e748ebf23a8ed

SHA-1: 16fda9ca20e33e351060976d84e25acedf6b6c02

SHA-256: 85c3810ff6df3d220dd6733886f1e2c2a5fbe7517978f3a1d9a50415eaf24b47

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

D3adCrypt

D3adCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Уплата выкупа не гарантирует расшифровку всех файлов. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35133 
BitDefender -> Gen:NN.ZemsilF*, Trojan.GenericKD.39109030
ESET-NOD32 -> A Variant Of MSIL/Filecoder.D3adCrypt.A
Kaspersky -> HEUR:Trojan.MSIL.Agent.gen
Malwarebytes -> Malware.AI.4108527338
Microsoft -> Trojan:Win32/Kryptik!MSR
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:x*
Tencent -> Msil.Trojan.Agent.Dygw
TrendMicro -> TROJ_GEN.R002C0DC722
---

© Генеалогия: предыдущие вымогатели на той же основе >> D3adCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .d3ad

Записки с требованием выкупа называются: 

d3ad_Help.txt

d3ad_Help.hta

Содержание записки d3ad_Help.txt:

All your files have been encrypted!

If you want to restore them, write us to the e-mail =>  d3add@tutanota.com

Write this ID in the title of your message =>  D2oku7Bg

In case of no answer in 24 hours write us to this e-mail =>  propersolot@gmail.com

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

Все ваши файлы были зашифрованы!

Если вы хотите их вернуть, пишите нам на email => d3add@tutanota.com

Напишите этот ID в заголовке вашего сообщения => D2oku7Bg

При отсутствии ответа за 24 часа напишите нам на этот email => propsolot@gmail.com

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может навсегда повредить данные.

Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенников.

Содержание записки d3ad_Help.hta:

***** All your files have been encrypted! *****

If you want to restore them, write us to the e-mail => d3add@tutanota.com

Write this ID in the title of your message => D2oku7Bg

In case of no answer in 24 hours write us to this e-mail => propersolot@gmail.com

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:
*** аналогичен предыдущему ***


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

d3ad_Help.txt - название файла с требованием выкупа;

d3ad_Help.hta - название файла с требованием выкупа;
test.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: d3add@tutanota.com, propersolot@gmail.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1c2af6c5e1b8b87189b5da7bd3cefe30

SHA-1: 6881acb4f1401f0db02bbebe82e2381a0b7c447d

SHA-256: cf0705a3e4f3690e28184eb019a4940e7291ce5b3d52747ff80b72e90922a89b

Vhash: 21503665151110782d91030

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Важное дополнение от Geordi Trapman: 

Hi Andrew,

Just took a look and noticed there was an assembly missing from the submission(Leaf.xNet) which the .NET executable required to run correctly. Usually these .dll files are shipped alongside an executable, so it might be worth checking whether all files relevant to this sample were submitted.

I've manually downloaded the Leaf.XNet.dll file and placed it next to the .exe in this new submission https://tria.ge/220301-j4ypeaafcr.

Kind regards,

Geordi Trapman

Software Engineer

---

Geordi, Thanks for the additional information!

---

Результаты анализов: 

IOC: VT, TG, HA, TG, AR, VMR, JSB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 *** 

 Thanks: 
 Andrew Ivanov (article author)
 Boanbird, Geordi Trapman
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.