Lilith

Lilith Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Lilith. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35547
BitDefender -> Trojan.GenericKD.49307970
ESET-NOD32 -> A Variant Of Win64/Filecoder.FC
Kaspersky -> Trojan-Ransom.Win32.Encoder.rqk
Malwarebytes -> Ransom.Filecoder
Microsoft -> Trojan:Win64/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Encoder.Pgwf
TrendMicro -> Ransom.Win64.LILITHCRYPT.YECGD
---

© Генеалогия: родство выясняется >> Lilith

Сайт "ID Ransomware" это идентифицирует как Lilith. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lilith

Записка с требованием выкупа называется: Restore_Your_Files.txt

Содержание записки о выкупе:

All your important files have been encrypted and stolen!

Contact us for price and get decryption software.

You have 3 days to contact us for negotiation.

If you don't contact within three days, we'll start leaking data.

1) Contact our tox.

Tox download address: https://tox.chat/

Our poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Note that this server is available via Tor browser only

Follow the instructions to open the link:

1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.

2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

3. Now you have Tor browser. In the Tor Browser open :

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы и украдены!

Свяжитесь с нами, чтобы узнать цену и получить программу для расшифровки.

У вас есть 3 дня, чтобы связаться с нами для переговоров.

Если вы не свяжетесь в течение трех дней, мы начнем слив данных.

1) Свяжитесь с нашим tox.

Адрес загрузки Tox: https://tox.chat/

Наш poison ID:

59B542C61F574BD8B3255E55651FC7C49EB53546FC6AD0698C7A12D97D193C7D6D**********

* Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он откроет сайт Tor.

2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.

3. Теперь у вас есть браузер Tor. В браузере Tor откройте:

hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Скриншот сайта вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перед шифрованием завершает процессы, которые могут помешать шифрованию. Шифрование выполняется с использованием криптографического API Windows, а функция Windows CryptGenRandom генерирует случайный ключ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых файлов и папок: 

.dll, .exe, .sys

Restore_Your_Files.txt

All Users, Windows, Windows.old, Program files, Program files (x86), ProgramData, $Recycle.Bin, ntldr, boot-файлы системы, ntuser-файлы и пр.

Internet Explorer, Google, Opera, Mozilla, Tor Browser и пр. 

ecdh_pub_k.bin - локальный открытый ключ, используемый в вымогателях на основе Babuk Ransomware. 

Файлы, связанные с этим Ransomware:
Restore_Your_Files.txt - название файла с требованием выкупа;
f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5.exe  - случайное название вредоносного файла;

PI1J3.txt - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://yeuajcizwytgmrntijhxphs6wn5txp2prs6rpndafbsapek3zd4ubcid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b7a182db3ba75e737f75bda1bc76331a

SHA-1: cf0fe28214ad4106c48ec5867327319eaa82b3c3

SHA-256: f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5

Vhash: 025086655d55551515555088z6b!z

Imphash: 261a21398ec064ef3b57c9095d03d0e8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Added later: Write-up

 Thanks: 
 JAMESWT, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlueSky

BlueSky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма ChaCha20 и эллиптической кривой Curve25519, а затем требует выкуп в 0.1-0.2 BTC, чтобы получить BlueSky Decryptor и расшифровать файлы. Оригинальное название: BlueSky. На файле написано: javaw.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35508
BitDefender -> Gen:Variant.Lazy.202657
ESET-NOD32 -> A Variant Of Win32/Filecoder.OLQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.rpb
Malwarebytes -> Malware.AI.106070570
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Trojan.Generic@AI.98 (RDML:Jeu*
Tencent -> Win32.Trojan.Filecoder.Wtdk
TrendMicro -> Ransom_Conti.R06CC0DFQ22
---

© Генеалогия: Conti + разный код >> BlueSky

Сайт "ID Ransomware" идентифицирует это как BlueSky. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .bluesky

Записки с требованием выкупа называются: 

# DECRYPT FILES BLUESKY #.txt

# DECRYPT FILES BLUESKY #.html

Содержание записки о выкупе:

<<< B L U E S K Y >>>

YOUR IMPORTANT FILES, DOCUMENTS, PHOTOS, VIDEOS, DATABASES HAVE BEEN ENCRYPTED!

The only way to decrypt and restore your files is with our private key and program.

Any attempts to restore your files manually will damage your files.

To restore your files follow these instructions:

--------------------------------------------------------------

1. Download and install "Tor Browser" from https://torproject.org/

2. Run "Tor Browser"

3. In the tor browser open website:

   hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

4. On the website enter your recovery id:

RECOVERY ID: 2898c3f96b33f5899772*** (240 characters total)

5. Follow the instructions

---

Перевод записки на русский язык:

<<< B L U E S K Y >>>

ВАШИ ВАЖНЫЕ ФАЙЛЫ, ДОКУМЕНТЫ, ФОТО, ВИДЕО, БАЗЫ ДАННЫХ ЗАШИФРОВАНЫ!

Единственный способ расшифровать и восстановить ваши файлы — использовать наш закрытый ключ и программу.

Любые попытки восстановить ваши файлы вручную повредят ваши файлы.

Чтобы восстановить файлы, следуйте этим инструкциям:

-------------------------------------------------- ------------

1. Загрузите и установите "Tor Browser" с https://torproject.org/

2. Запустите "Tor Browser"

3. В tor барузере откройте сайт:

hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

4. На сайте введите свой id восстановления:

ID ВОССТАНОВЛЕНИЯ: 2898c3f96b33f5899772*** (всего 240 символов)

5. Следуйте инструкциям

---

Скриншот сайта вымогателей: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ BlueSky использует stage.ps1 (сценарий PowerShell) для проверки прав привилегированного пользователя, для повышения локальных привилегий в зависимости от версии операционной системы хоста, для загрузки модифицированной версии  JuicyPotato, для работ на более старых, чем Windows 10, версий системы. Если хост работает под управлением Windows 10 или 11, скрипт загрузит и выполнит ghost.exe и spooler.exe, чтобы использовать уязвимости локального повышения привилегий CVE-2020-0796 и CVE-2021-1732 соответственно.

Получив дополнительные привилегии, stage.ps1 загружает последнюю полезную нагрузку BlueSky с hxxxs://kmsauto[.]us/someone/l.exe и сохраняет ее локально в файловой системе как javaw.exe , пытаясь маскироваться под законное приложение Windows. В итоге этот файл выполняется из %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe

➤ BlueSky создает уникальный ID пользователя, вычисляя хэш MD5 для комбинированных значений Volume Information, Machine GUID, Product ID и Install Date. Кроме того, он использует тот же ID для создания мьютекса Global\<32-byte ID> .

➤ BlueSky использует многопоточную очередь для шифрования. Он запускает несколько потоков — один отвечает за шифрование файлов, другой — за перечисление файлов в локальной файловой системе и подключенных сетевых ресурсах для добавления в очередь. Он использует Curve25519 для генерации открытого ключа для хоста и генерирует общий ключ с открытым ключом злоумышленника. После создания пары ключей эллиптической кривой BlueSky вычисляет хэш общего ключа и использует его для создания ключа шифрования файла для алгоритма ChaCha20. Затем он считывает файловый буфер, шифрует его с помощью ChaCha20 и заменяет содержимое исходного файла.

Список типов файлов, подвергающихся шифрованию:
Почти все типы популярных файлов, кроме тех, что находятся в списках исключений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, которые используются самим BlueSky:

.386, .adv, .ani, .bat, .bin, .bluesky, .cab, .cmd, .com, .cpl, .cur, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .ini, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .wpx

Имена каталогов, исключенные из шифрования:

$recycle.bin, $windows.~bt, $windows.~ws, boot, windows, windows.old, system volume information, perflogs, programdata, program files, program files (x86), all users, appdata, tor browser

Имена файлов, исключенные из шифрования:

# decrypt files bluesky #.txt, # decrypt files bluesky #.html, ntuser.dat, iconcache.db, ntuser.dat.log, bootsect.bak, autorun.inf, bootmgr, ntldr, thumbs.db

Файлы, связанные с этим Ransomware:

# DECRYPT FILES BLUESKY #.txt - название файла с требованием выкупа; 

# DECRYPT FILES BLUESKY #.html - название файла с требованием выкупа; 

javaw.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://kmsauto.us/

Tor-URL: hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d8a44d2ed34b5fee7c8e24d998f805d9

SHA-1: d8369cb0d8ccec95b2a49ba34aa7749b60998661

SHA-256: 3e035f2d7d30869ce53171ef5a0f761bfb9c14d94d9fe6da385e20b8d96dc2fb

Vhash: 0740366d755"z

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2023:

Сообщение на форуме >>
Расширение: .bluesky

Записка: # DECRYPT FILES BLUESKY #.txt
URL: hxxx://ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion
Кажется в этих данных ничего не изменилось.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Extended overview

 Thanks: 
 xiaopao, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RedTeam

RedTeam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и расшифровать файлы. На файлах написано: ewin.exe и elast.exe. Группа вымогателей: Red Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34363
BitDefender -> Generic.Ransom.Babuk.!s!.G.2501B74B
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.3155384457
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Babuk!1.D7A0 (CLASSIC)

Symantec -> Ransom.Babuk

Tencent -> Win32.Trojan.Filecoder.Lhxd
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---

© Генеалогия: Babuk >> RedTeam

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .REDTM

Кроме того, в зашифрованных файлах есть маркер: Hello from redTM

Записка с требованием выкупа называется: HowToDecryptYourFiles.txt

Содержание записки о выкупе:

===================

Hello from RED TEAM

===================

Your files has been encrypted and can only be decrypted by using our special decryptor.

Private and sensitive company's data will be published shortly, therefore we should reach an agreement to avoid this.

We recommend the authorized person to contact our support urgently to address this issue.

Support email:

alphasupport@onionmail.org

Reserve email:

alphareserve@tuta.io

4reserve@tuta.io

Don't modify encrypted files and don't try any third-party decryptors, it will damage files and decryption will be impossible!

=====

redTM

=====

Перевод записки на русский язык:

====================

Привет от RED TEAM

====================

Ваши файлы были зашифрованы и могут быть расшифрованы только нашим специальным расшифровщиком.

Частные и конфиденциальные данные компании будут опубликованы в ближайшее время, поэтому мы должны договориться, чтобы избежать этого.

Мы рекомендуем уполномоченному лицу срочно обратиться в нашу службу поддержки для решения этой проблемы.

Email поддержки:

alphasupport@onionmail.org

Резервный email адрес:

alphareserve@tuta.io

4reserve@tuta.io

Не изменяйте зашифрованные файлы и не пытайтесь использовать сторонние расшифровщики, это повредит файлы и расшифровка будет невозможна!

=====

redTM

=====

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., кроме тех, что  находятся в списке пропускаемых директорий и файлов. 

Пропускает следующие директории и файлы: 

AppData

Boot

Windows

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

ProgramData

All Users

bootmgr

ntldr

#recycle

.REDTM

Файлы, связанные с этим Ransomware:
HowToDecryptYourFiles.txt - название файла с требованием выкупа;
ewin.exe - название вредоносного файла (более новый файл, чем elast.exe);

elast.exe - название вредоносного файла. 

  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: alphasupport@onionmail.org, alphareserve@tuta.io, 4reserve@tuta.io
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b1506fec2b3988ff33fb5e6c5076439d

SHA-1: 295b9010c3eb13496b3a1379e73c5d2317c2134d

SHA-256: 3a64d8f4f91013a46b8114092a5d691a93a9e559be43f9f7b4ceb3bd6a1a1876

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 344d23c036cf33a82cf9a454a90ff274

SHA-1: 2a650979c1272dd52a3f4374e722f7a1acc72b06

SHA-256: d57f4a81dcbfd938b8beca24957ea0854a0fe93dcea5d0f24e94412d485de00c

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Datastor2021, DamaCrypt

Datastor2021 Ransomware

DamaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов X25519 и ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2022 г., но мог быть активен и раньше. Ориентирован на турецкоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .damacrypt

Фактически используется составное расширение по шаблону: .<email>.damacrypt

Пример известного расширения: .datastor2021@gmail.com.damacrypt

Записка с требованием выкупа называется: DECRYPT.txt

Содержание записки о выкупе:

Tum dosyalar guclu algoritmalar X25519 ve ChaCha20 ile sifrelenir.

Bizimle datastor2021@gmail.com e-posta yoluyla iletisime gecin.

Kimliginiz: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Bitcoin'le sifre cozme icin odeme yapmanız gerekir. Fiyat, bizimle ne kadar hızlı iletisim kurdugunuza baglıdır.

odeme isleminden sonra size sifre cozme aracını gonderecegiz.

sifre cozme garantimiz nedir?

odemeden once bize ucretsiz sifre cozme icin 3 adede kadar test dosyası gonderebilirsiniz. Dosyaların toplam boyutu 2Mb'den az (arsivlenmemis) olmalı ve dosyalar degerli bilgiler (veritabanları, yedekler, buyuk excel sayfaları vb.) icermemelidir

Dikkat!

sifreyi cozmeden once herhangi bir para odemeyin. dosyaları test edin.

Hicbir aracıya GuVENMEYİN. size yardım etmeyecekler ve dolandırıcılık kurbanı olabilirsiniz. bize e-posta gondermeniz yeterlidir, size her adımda yardımcı oluruz.

Diger e-postaları yanıtlamayın. YALNIZCA bu e-posta size yardımcı olabilir.

sifrelenmis dosyaları yeniden adlandırmayın.

ucuncu taraf yazılımları kullanarak verilerinizin sifresini cozmeye calısmayın, bu kalıcı veri kaybına neden olabilir.

Dosyalarınızın ucuncu kisilerin yardımıyla sifresinin cozulmesi taraflar fiyatın artmasına neden olabilir (ucretlerini bize eklerler) veya bir dolandırıcılıgın kurbanı olabilirsiniz.

Перевод записки на русский язык:

Все файлы зашифрованы мощными алгоритмами X25519 и ChaCha20.

Свяжитесь с нами по email datastor2021@gmail.com.

Ваш идентификатор: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Вы должны заплатить за расшифровку биткойнами. Цена зависит от того, как быстро вы напишете нам.

После оплаты мы вышлем вам инструмент для расшифровки.

Какая наша гарантия расшифровки?

Вы можете отправить нам до 3-х тестовых файлов для бесплатной расшифровки перед оплатой. Общий размер файлов должен быть менее 2 Мб (без архива) и файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.)

Внимание!

Не платите деньги до получения пароль расшифровки. Проверьте файлы.

НЕ доверяйте никаким агентам. Они не помогут и вы можете стать жертвой мошенничества. Просто отправьте нам email и мы поможем вам на каждом этапе.

Не отвечайте на другие письма. ТОЛЬКО этот email может помочь вам.

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, так как это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою цену к нашей) или вы можете стать жертвой мошенничества.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datastor2021@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.