BlackField

BlackField Ransomware

Aliases: BlackFL, Yamag

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымогателям, чтобы заплатить выкуп и узнать как вернуть свои файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.42558
BitDefender -> Trojan.GenericKD.76800630
ESET-NOD32 -> A Variant Of Win64/Filecoder.ZQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Rising -> Trojan.Kryptik!8.8 (TFE:5:dNueixJeEaL)

Symantec -> Ransom.Conti!gen23
Tencent -> Malware.Win32.Gencirc.1496b9ef
TrendMicro -> Ransom_Lockbit.R002C0DG725
---

© Генеалогия: CONTI-2 >> BlackField

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BlackFL 

Записка с требованием выкупа называется: BlackField_ReadMe.txt

Содержание записки о выкупе:

Hi friends,

Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially

dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover,

we have taken a great amount of your corporate data prior to encryption.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue.

 We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance,

 bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance,

 let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately.

Our decryptor works properly on any files or systems,

so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own,

 keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value,

 since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into,

 identify backup solutions and upload your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking,

 everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog -

5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

Primary email : yamag@onionmail.org   use this as the title of your email SFbGThkOQBr3-CdxRU-locals

Secondary email(backup email in case we didn't answer you in 24h) : yamag@tuta.io , TELEGRAM: @gotchadec

Keep in mind that the faster you will get in touch, the less damage we cause.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackField_ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: yamag@onionmail.org, yamag@tuta.io

Telegram: gotchadec
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 6c4fa3e0eedb3100f4757bd2172bec9f 

SHA-1: 5d8c9959c37fcf51c33a59d87d73f5fed90aa05b 

SHA-256: 14468d1a661ce6296e3b0ee696d8c95b3798138668463e142046c056fb870b68 

Vhash: 025066655d1555555az43nz15z27z 

Imphash: 480e15f1c0ffcaef8e7a03e98c1830ef

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gunra

Gunra Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымоагтелями через сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Gunra_Ransomware. 

В основе Gunra лежит код другой известной программы — Conti Ransomware, написаной на C и C++. Однако в отличие от своего предшественника, в Gunra Ransomware используются более гибкие и изощрённые методы ухода от обнаружения. 
---
Обнаружения:
DrWeb -> Trojan.BadRabbit.9
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.GV
Kaspersky -> Trojan-Ransom.Win32.Conti.dw
Microsoft -> Ransom:Win64/Gunra.A
Rising -> Trojan.Kryptik/x64!1.12BEE (CLASSIC)
Tencent -> Malware.Win32.Gencirc.146d2124
TrendMicro -> Ransom.Win64.GUNRA.THEOFBE
---

© Генеалогия: Conti >> Gunra

Сайт "ID Ransomware" идентифицирует Gunra c 20 мая 2025 г. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в апреле - мае 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Пострадавшие компании находятся в Японии, Египте, Панаме, Италии и Аргентине. Затронутые отрасли: производство, недвижимость, здравоохранение, фармацевтика и другие. 

К зашифрованным файлам добавляется расширение: .ENCRT

Записка с требованием выкупа называется: R3ADM3.txt

Содержание записки о выкупе:

YOUR ALL DATA HAVE BEEN ENCRYPTED!

We have dumped your sensitive business data and then encrypted your side entire data.

The only way to decrypt your files is to receive the private key and decryption program.

To receive the private key and decryption program, you must contact us.

We guarantee that you can recover all your files safely and easily. But you have not so enough time.

You can decrypt some of your files for free when you contact us.

You Only Have 5 Days To Contact Us!

How to contact us

Ñ. Download "Tor Browser" and install it. 

Ò. In the "Tor Browser" open this site here :

hxxx://apdk7hpbbquomgoxbhutegxco6btrz2ara3x2weqnx65tt45ba3sclyd.onion 

Ó. After signup and login to this site and contact Manger

You need to contact "Manager" to recover all your data successfully.

!!!DANGER !!!

İO NOT MODIFY or try to RECOVER any files yourself.We WILL NOT be able to RESTORE them.

Únd also we will publish your data on the dark web if there is no reply from you within 5 days.

Publish URL: hxxx://gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion/ 

!!!DANGER !!!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
R3ADM3.txt - название файла с требованием выкупа;
gunraransome.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://gunrabxbig445sjqa535uaymzerj6fp4nwc6ngc2xughf2pedjdhk4ad.onion

Tor-URL: hxxx://apdk7hpbbquomgoxbhutegxco6btrz2ara3x2weqnx65tt45ba3sclyd.onion

Другие URL: 

2bw7r32r5eshwk2h7uekj3lwzorxds2jyhyzqyilphid3r27x5hsf4yd.onion

jzbhtsuwysslrzi2n5is3gmzsyh6ayhm7jt3xowldhk7rej4dqqubxqd.onion

r3tkfu3h7sx4k6n7mr7ranuk5godwz7vlgvv2dk2fs2cbma5nailigad.onion

vrlgjxbl6yroq26xkcjpafgmmxrlpawvr4agppna6apfxjxav2mq66ad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9a7c0adedc4c68760e49274700218507 

SHA-1: 77b294117cb818df701f03dc8be39ed9a361a038 

SHA-256: 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd 

Vhash: 015076655d155515555az46nz1fz

Imphash: 93fc6edbd41db10e4c203e0aaab8215c

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 мая 2025: 

IOC: VT, AR 

MD5: ae6f61c0fc092233abf666643d88d0f3 

SHA-1: 79e19d3d8405425735e4b3cd36a8507d99dfee20 

SHA-256: 944a1a411abb97f9ae547099c4834beb49de0745740ba450efb747bd62d8d83b 

Vhash: 0160365d1d5bz503=z 

Imphash: f6a217af971606da677d770c7543f499

---

Обнаружения: 

DrWeb -> Trojan.Encoder.42164

BitDefender -> Application.GenericFCA.2593

ESET-NOD32 -> Win64/Filecoder.Gunra.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Crypt.Trojan.MSIL.DDS

Microsoft -> Trojan:Win64/RanPacker.CCJZ!MTB

TrendMicro -> Ransom.Win64.GUNRA.AA

Вариант от 23 сентября 2025:

IOC: VT, AR 

MD5: 4c0e74e9f94dff611226cd1619cb1e1d 

SHA-1: a7703d68e4ae4ada31fd1fb01c4169d8da56e4b7 

SHA-256: 6d59bb6a9874b9b03ce6ab998def5b93f68dadedccad9b14433840c2c5c3a34e 

Vhash: 015076655d155515555az46nz1fz 

Imphash: 93fc6edbd41db10e4c203e0aaab8215c

---

Обнаружения: 

DrWeb -> Trojan.BadRabbit.28

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.Gunra.A

Kaspersky -> Trojan-Ransom.Win32.Conti.fn

Malwarebytes -> Ransom.Conti

Microsoft -> Ransom:Win64/Gunra.A

TrendMicro -> Ransom.Win64.GUNRA.SMYXFEF

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyfirma
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sauron

Sauron Ransomware

Sauron (Conti-based) Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Расшифровка файлов без получения закрытого ключа RSA-2048 невозможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150, Trojan.Encoder.41182
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.74295393
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB, Ransom:Win64/Filecoder!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD), Ransom.Generic!8.E315 (CLOUD)

Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---

© Генеалогия: ✂ Conti-3, ✂ LockBit + другой код >> Sauron

Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Содержание записки о выкупе:

Your Files Have Been Encrypted!

Attention!

All your important files have been stolen and encrypted by our advanced attack.

Without our special decryption software, theres no way to recover your data!

Your ID: [ 35AEE360 ]

To restore your files, reach out to us at: adm.helproot@gmail.com

You can also contact us via Telegram: @adm_helproot

Failing to act may result in sensitive company data being leaked or sold.

Do NOT use third-party tools, as they may permanently damage your files.

Why Trust Us?

Before making any payment, you can send us few files for free decryption test.

Our business relies on fulfilling our promises.

How to Buy Bitcoin?

You can purchase Bitcoin to pay the ransom using these trusted platforms:

xxxxs://www.kraken.com/learn/buy-bitcoin-btc

xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin

xxxxs://paxful.com

Перевод записки на русский язык:

Ваши файлы зашифрованы!

Внимание!

Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.

Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!

Ваш идентификатор: ***

Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com

Вы также можете связаться с нами через Telegram: @adm_helproot

Бездействие может привести к утечке или продаже конфиденциальных данных компании.

НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.

Почему нам доверяют?

Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.

Наш бизнес основан на выполнении наших обещаний.

***

Также используется изображение, заменяющее обои Рабочего стола, с текстом:

SAURON

All your files are encrypted

for more information see #HowToRecover.txt that is located in every encrypted folder

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -

Telegram: @adm_helproot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: eb13533a89da9762d93de5d54966df5f 

SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 

SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 

Vhash: 065076655d155515555078z657z17z2011z35z27z 

Imphash: b5f1a1d1c89893764273d20e9396c5d5

---

IOC: VT, HA, IA, TG

MD5: 75eeb5869fe1fe3a98749b6b31afdab7 

SHA-1: ba4d5f0087b39be43b514dcbbfb35bf478c8345a 

SHA-256: fce945ba2c72acbc82e8129196cd7043f9d205ad545e005a3de8739ba25f493b 

Vhash: 065076655d155515555038z65hz2011z25z27z 

Imphash: 3bc9aa7495560b44d271f3a1b43942f3

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 октября 2024 или раньше: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-528DAF49].[adm.systemic@gmail.com].iXgTi

Записка: #HowToDecrypt.txt

Email: adm.systemic@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41191

BitDefender -> Trojan.GenericKD.75095688

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 25 октября 2024 или раньше: 

Доп. название: Hawk Ransomware

Расширение: .hawk

Пример полного расширения: .id[XX-B2750012].[sup.logical@gmail.com].hawk

Записка: #Recover-Files.txt

Email: sup.logical@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41194

BitDefender -> Gen:Variant.Tedy.659244

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 29 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41225

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 30 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[id-79366a5b-1337].[hedaransom@gmail.com].heda

Записка: #HowToRecover.txt

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41203

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Malwarebytes -> Ransom.FileCryptor

TrendMicro -> TROJ_GEN.R03BC0DJT24

Вариант от 11 ноября 2024 или раньше: 

Расширение: .A08D7447

Пример полного расширения: .id[XX-73B251EF].[Xdoct0@zohomail.eu].A08D7447

Записка: #Recover-Files.txt

Email: Xdoct0@zohomail.eu

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41233

BitDefender -> Trojan.Generic.37045557

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

TrendMicro -> Ransom_Lockbit.R002C0DKI24

Вариант от 5 декабря 2024: 

Расширение: .<random 4 chars>

Пример полного расширения: .[ID-F51292E4].[TrustFiles@skiff.com].OJNH

Записки: #README.hta, #README-TO-DECRYPT-FILES.txt 

Email: TrustFiles@skiff.com

Меняет обои Рабочего стола. 

Добавляется в автозагрузку Windows:  

%APPDATA%\microsoft\windows\start menu\programs\startup\zowq.exe

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop28.49123

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader!rfn

TrendMicro -> TROJ_GEN.R002C0DL524

=== 2025 ===

Вариант от 14 февраля 2025 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-7A5C4E67-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41711

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 24 февраля 2025: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-F51292E4].[reaction0@tutamail.com].unslu

Записка: #README-TO-DECRYPT-FILES.txt

Email: reaction0@tutamail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop29.10200

BitDefender -> Trojan.GenericKD.75904076

ESET-NOD32 -> A Variant Of Win32/Filecoder.OSN

Microsoft -> Ransom:Win32/Conti.IPA!MTB

TrendMicro -> Ransom_Conti.R053C0DC225

Вариант от 11 марта 2025: 

Расширение: .<random 6 chars>

Пример полного расширения: .[ID-F51292E4].[Telegram ID @Adm1n_speed].OJNHOR

Записка: #README-TO-DECRYPT-FILES.txt

Telegram: @Adm1n_speed

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41776

BitDefender -> Gen:Variant.Lazy.663648

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> TrojanSpy.Win64.NEGASTEAL.YXFCLZ

Вариант от 14 марта 2025 или раньше: 

Сообщение на форуме >>

Расширение (шаблон): .<random 5 chars>

Расширение (пример): .pyfx8

Записка: #Recover-Files.txt

Email: blackdecryptor@gmail.com

Telegram: recoverydatasup@gmail.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, cyfirma, pcrisk, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.