Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sauron

Sauron Ransomware

Sauron (Conti-based) Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Расшифровка файлов без получения закрытого ключа RSA-2048 невозможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150, Trojan.Encoder.41182
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.74295393
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB, Ransom:Win64/Filecoder!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD), Ransom.Generic!8.E315 (CLOUD)

Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---

© Генеалогия: ✂ Conti-3, ✂ LockBit + другой код >> Sauron

Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Содержание записки о выкупе:

Your Files Have Been Encrypted!

Attention!

All your important files have been stolen and encrypted by our advanced attack.

Without our special decryption software, theres no way to recover your data!

Your ID: [ 35AEE360 ]

To restore your files, reach out to us at: adm.helproot@gmail.com

You can also contact us via Telegram: @adm_helproot

Failing to act may result in sensitive company data being leaked or sold.

Do NOT use third-party tools, as they may permanently damage your files.

Why Trust Us?

Before making any payment, you can send us few files for free decryption test.

Our business relies on fulfilling our promises.

How to Buy Bitcoin?

You can purchase Bitcoin to pay the ransom using these trusted platforms:

xxxxs://www.kraken.com/learn/buy-bitcoin-btc

xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin

xxxxs://paxful.com

Перевод записки на русский язык:

Ваши файлы зашифрованы!

Внимание!

Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.

Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!

Ваш идентификатор: ***

Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com

Вы также можете связаться с нами через Telegram: @adm_helproot

Бездействие может привести к утечке или продаже конфиденциальных данных компании.

НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.

Почему нам доверяют?

Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.

Наш бизнес основан на выполнении наших обещаний.

***

Также используется изображение, заменяющее обои Рабочего стола, с текстом:

SAURON

All your files are encrypted

for more information see #HowToRecover.txt that is located in every encrypted folder

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -

Telegram: @adm_helproot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: eb13533a89da9762d93de5d54966df5f 

SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 

SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 

Vhash: 065076655d155515555078z657z17z2011z35z27z 

Imphash: b5f1a1d1c89893764273d20e9396c5d5

---

IOC: VT, HA, IA, TG

MD5: 75eeb5869fe1fe3a98749b6b31afdab7 

SHA-1: ba4d5f0087b39be43b514dcbbfb35bf478c8345a 

SHA-256: fce945ba2c72acbc82e8129196cd7043f9d205ad545e005a3de8739ba25f493b 

Vhash: 065076655d155515555038z65hz2011z25z27z 

Imphash: 3bc9aa7495560b44d271f3a1b43942f3

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 октября 2024 или раньше: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-528DAF49].[adm.systemic@gmail.com].iXgTi

Записка: #HowToDecrypt.txt

Email: adm.systemic@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41191

BitDefender -> Trojan.GenericKD.75095688

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 25 октября 2024 или раньше: 

Доп. название: Hawk Ransomware

Расширение: .hawk

Пример полного расширения: .id[XX-B2750012].[sup.logical@gmail.com].hawk

Записка: #Recover-Files.txt

Email: sup.logical@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41194

BitDefender -> Gen:Variant.Tedy.659244

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 29 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41225

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 30 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[id-79366a5b-1337].[hedaransom@gmail.com].heda

Записка: #HowToRecover.txt

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41203

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Malwarebytes -> Ransom.FileCryptor

TrendMicro -> TROJ_GEN.R03BC0DJT24

Вариант от 11 ноября 2024 или раньше: 

Расширение: .A08D7447

Пример полного расширения: .id[XX-73B251EF].[Xdoct0@zohomail.eu].A08D7447

Записка: #Recover-Files.txt

Email: Xdoct0@zohomail.eu

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41233

BitDefender -> Trojan.Generic.37045557

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

TrendMicro -> Ransom_Lockbit.R002C0DKI24

Вариант от 5 декабря 2024: 

Расширение: .<random 4 chars>

Пример полного расширения: .[ID-F51292E4].[TrustFiles@skiff.com].OJNH

Записки: #README.hta, #README-TO-DECRYPT-FILES.txt 

Email: TrustFiles@skiff.com

Меняет обои Рабочего стола. 

Добавляется в автозагрузку Windows:  

%APPDATA%\microsoft\windows\start menu\programs\startup\zowq.exe

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop28.49123

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader!rfn

TrendMicro -> TROJ_GEN.R002C0DL524

=== 2025 ===

Вариант от 14 февраля 2025 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-7A5C4E67-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41711

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 24 февраля 2025: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-F51292E4].[reaction0@tutamail.com].unslu

Записка: #README-TO-DECRYPT-FILES.txt

Email: reaction0@tutamail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop29.10200

BitDefender -> Trojan.GenericKD.75904076

ESET-NOD32 -> A Variant Of Win32/Filecoder.OSN

Microsoft -> Ransom:Win32/Conti.IPA!MTB

TrendMicro -> Ransom_Conti.R053C0DC225

Вариант от 11 марта 2025: 

Расширение: .<random 6 chars>

Пример полного расширения: .[ID-F51292E4].[Telegram ID @Adm1n_speed].OJNHOR

Записка: #README-TO-DECRYPT-FILES.txt

Telegram: @Adm1n_speed

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41776

BitDefender -> Gen:Variant.Lazy.663648

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> TrojanSpy.Win64.NEGASTEAL.YXFCLZ

Вариант от 14 марта 2025 или раньше: 

Сообщение на форуме >>

Расширение (шаблон): .<random 5 chars>

Расширение (пример): .pyfx8

Записка: #Recover-Files.txt

Email: blackdecryptor@gmail.com

Telegram: recoverydatasup@gmail.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, cyfirma, pcrisk, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Trinity Locker

Trinity Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп, получить дешифровщик и вернуть файлы. Оригинальное название: Trinity Locker, указано в записке. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Doina.69600
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.E
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Trinity
Microsoft -> Ransom:Win32/Conti.IPA!MTB
Rising -> Malware.Undefined!8.C (TFE:5:d7Jqm9BdiXT)
Tencent -> Malware.Win32.Gencirc.10c03784
TrendMicro -> Ransom_Conti.R002C0DIH24
---

© Генеалогия: родство выясняется >> Trinity Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .trinitylock

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

TRINITY LOCKER

We downloaded to our servers and encrypted all your databases and personal information!

to contact us

follow this link hxxx://trinitylock.io

follow the instructions on the website

or

download TOR

https://www.torproject.org/download/

follow this link hxxx://txtggyng5euqkyzl2knbejwpm4rlq575jn2egqldu27osbqytrj6ruyd.onion

follow the instructions on the website

if you're having trouble with TOR

e-mail helpdesk101@onionmail.com

IMPORTANT INFORMATION!

If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites http://trinitylock.io/articles and offer the information to your competitors

Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.

Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.

Перевод записки на русский язык:

TRINITY LOCKER

Мы загрузили на наши серверы и зашифровали все ваши базы данных и личную информацию!

чтобы связаться с нами перейдите по этой ссылке hxxx://trinitylock.io

следуйте инструкциям на сайте

или загрузите TOR

https://www.torproject.org/download/

перейдите по этой ссылке hxxx://txtggyng5euqkyzl2knbejwpm4rlq575jn2egqldu27osbqytrj6ruyd.onion

следуйте инструкциям на сайте

если у вас возникли проблемы с TOR

напишите на helpdesk101@onionmail.com

ВАЖНАЯ ИНФОРМАЦИЯ!

Если вы не напишете нам в течение 24 часов, мы опубликуем и продадим ваши данные в даркнете на хакерских сайтах http://trinitylock.io/articles и предложим информацию вашим конкурентам

Гарантия: Если мы не предоставим вам дешифратор или не удалим ваши данные после оплаты, нам никто не заплатит в будущем. Мы дорожим своей репутацией.

Гарантия ключа: Чтобы доказать, что ключ дешифрования существует, мы можем бесплатно протестировать файл (не базу данных и резервную копию).

Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Не обращайтесь в компании по восстановлению данных — по сути, они просто посредники. Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), мы единственные, у кого есть ключи дешифрования.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://trinitylock.io

Tor-URL: hxxx://txtggyng5euqkyzl2knbejwpm4rlq575jn2egqldu27osbqytrj6ruyd.onion

Email: helpdesk101@onionmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Скриншоты с сайтов утечек:

Результаты анализов: 

IOC: VT, IA, TG, AR

MD5: 503c5ecd8f6c6238cd527f1d5db74ef7 

SHA-1: c6933bdd77e75018faa67aa691f08d228cfbe375 

SHA-256: 4cf1f88bf0d62936170599c4de4d6d0d72c0595ff9a109bee2d285d0e8b8416b 

Vhash: 055056655d1555612021z20e008c1z2021z2045z401001f5zf7z 

Imphash: e162d21b33035356f1d16365ff6bb80e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Trinity Locker - с сентября 2024

Triplex Locker - с ноября 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 ноября 2024:

Самоназвание: TRIPLEX LOCKER

Сообщение на форуме >>

Расширение: .triplex

Записка: README.txt

Email: apexxx@tutamail.com

Telegram: apexxxrnw

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Details + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Monti

Monti Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей ОС Linux с помощью комбинации алгоритмов, а затем требует выкуп чтобы вернуть файлы. Оригинальное название: Monti. На файле написано: monti.elf. Есть версии крипто-вымогателя для Linux и Windows. 
---
Обнаружения:
DrWeb -> Linux.Encoder.135
BitDefender -> Trojan.Generic.32380713
ESET-NOD32 -> Linux/Filecoder.Conti.A
Kaspersky -> HEUR:Trojan-Ransom.Linux.Conti.gen
Microsoft -> Ransom:Linux/Conti.A
Rising -> Ransom.Conti/Linux!8.15360 (CLOUD)
Tencent -> Linux.Trojan.Conti.Ewnw
TrendMicro -> Trojan.Linux.CONTI.USELVL622
---

© Генеалогия: CONTI modified >> Monti

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце ноября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .puuuk

Записка с требованием выкупа называется: readme.txt или README.txt

Содержание записки о выкупе:

All of your files are currently encrypted by MONTI strain. If you don't know who we are - just "Google it."

As you already know, all of your data has been encrypted by our software.

It cannot be recovered by any means without contacting our team directly.

DON'T TRY TO RECOVER your data by yourselves. Any attempt to recover your data (including the usage of the additional recovery software) can damage your files. However, if you want to try - we recommend choosing the data of the lowest value.

DON'T TRY TO IGNORE us. We've downloaded a pack of your internal data and are ready to publish it on our news website if you do not respond.

So it will be better for both sides if you contact us as soon as possible.

DON'T TRY TO CONTACT feds or any recovery companies.

We have our informants in these structures, so any of your complaints will be immediately directed to us.

So if you will hire any recovery company for negotiations or send requests to the police/FBI/investigators, we will consider this as a hostile intent and initiate the publication of whole compromised

data immediately.

To prove that we REALLY CAN get your data back - we offer you to decrypt two random files completely free of charge.

You can contact our team directly for further Instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

http://monti**********************************************.onion/chat/

Our blog :

(also through TOR)

hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

YOU SHOULD BE AWARE!

We will speak only with an authorized person. It can be the CEO, top management, etc.

In case you are not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company!

Inform your supervisors and stay calm!

Перевод записки на русский язык:

Все ваши файлы сейчас зашифрованы штаммом MONTI. Если вы не знаете, кто мы - просто "погуглите".

Как вы уже знаете, все ваши данные зашифрованы нашей программой.

Их никак нельзя восстановить, не связавшись напрямую с нашей командой.

НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ данные самостоятельно. Любая попытка восстановить ваши данные (включая использование дополнительных программ для восстановления) может повредить ваши файлы. Однако если вы хотите попробовать — рекомендуем выбирать данные наименьшего значения.

НЕ ПЫТАЙТЕСЬ ИГНОРИРОВАТЬ НАС. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите.

Поэтому для обеих сторон будет лучше, если вы свяжетесь с нами как можно скорее.

НЕ ПЫТАЙТЕСЬ СВЯЗАТЬСЯ с федералами или любыми компаниями по восстановлению.

У нас есть свои информаторы в этих структурах, поэтому любая ваша жалоба будет немедленно направлена к нам.

Поэтому, если вы наймете любую компанию по восстановлению для переговоров или отправите запросы в полицию/ФБР/следователям, мы будем рассматривать это как враждебный умысел и инициируем публикацию всех скомпрометированных данных немедленно.

Чтобы доказать, что мы ДЕЙСТВИТЕЛЬНО МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать два случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ВЕРСИЯ ТОР:

(сначала необходимо скачать и установить браузер TOR https://torproject.org)

http://monti*************************************************** *.onion/чат/

Наш блог:

(также через ТОР)

hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

ВЫ ДОЛЖНЫ ЗНАТЬ!

Мы будем говорить только с уполномоченным лицом. Это может быть генеральный директор, высшее руководство и др.

Если вы не такой человек - НЕ СВЯЗЫВАЙТЕСЬ С НАМИ! Ваши решения и действия могут нанести серьезный вред вашей компании!

Сообщите начальству и сохраняйте спокойствие!

Из записки о выкупе видно, что вымогатели Monti управляют двумя разными сайтами в сети Tor: один для размещения данных, украденных у жертв, и другой для переговоров о выкупе. На момент написания статьи сайт переговоров о выкупе был недоступен. На сайте для размещения украденных данных есть "стена позора", которую оператор Monti скопировал у других вымогателей, таких как Ragnar Locker. В настоящее время на сайте утечки нет списка жертв, но есть провокационное сообщение, которое может указывать на то, что многие жертвы программы-вымогателя Monti успешно сотрудничали и заплатили выкуп, за исключением одной жертвы в Аргентине.

Скриншоты сайта вымогателей

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы, текстовые файлы, PDF-файлы, базы данных, файлы журналов, фотографии и пр.

Файлы, связанные с этим Ransomware:
readme.txt или README.txt - название файла с требованием выкупа;

result.txt - текстовый файл показывает, сколько файлов было зашифровано;
monti.elf - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://mblogci3rudehaagbryjznltdp33ojwzkq6hn2pckvjq33rycmzczpid.onion

Tor-URL: hxxx://monti***.onion/chat/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Fortinet
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.