Если вы не видите здесь изображений, то используйте VPN.

суббота, 12 сентября 2020 г.

Hentai Oniichan

Hentai Oniichan Ransomware

Variants: Berserker, King Engine

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в 10 BTC (~ $130000), чтобы вернуть файлы. Оригинальное название: Hentai Oniichan Ransomware. На файле написано: recent_invoice_view.exe или что-то другое. Использует библиотеку Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33369
BitDefender -> Gen:Variant.Johnnie.274191
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Injector.wktxz
ESET-NOD32 -> A Variant Of Generik.HKOKDPH
Kaspersky -> Trojan.Win32.Inject.anhmr
Malwarebytes -> Ransom.Quimera
Microsoft -> Trojan:Win32/Ymacco.AA44
Qihoo-360 -> Generic/HEUR/QVM10.2.E5CB.Malware.Gen
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Falsesign.Hsrw
TrendMicro -> TROJ_FRS.0NA103IE20
---

© Генеалогия: ??? >> Hentai Oniichan
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .HOR
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Ориентирован на англоязычных пользователей 
финансового и энергетического секторов, может распространяться по всему миру.

Записка от вымогателей называется: warning.htm


Содержание записки: 
If you end task/kill our program, your data will gone forever, which mean "YOU CANNOT RECOVER YOUR DATA!"

Перевод записки на русский язык: 
Если вы завершите нашу программу, ваши данные пропадут, т.е. ВЫ УЖЕ НЕ НЕ ВЕРНЕТЕ СВОИ ДАННЫЕ!

Другим информатором выступает изображение, заменяющее обои рабочего стола. 


Содержание записки с требованием выкупа: 
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
TO RECOVER DATA:
- PAY 10 BTC (BITCOIN).
- SEND/PAY ONLY TO THIS BITCOIN WALLET "ONLY TO THIS BITCOIN ADDRESS"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- NO NEGOTIABLE OFFER MY ENGLISH IS BAD SO STOP WASTING TIME.
- SEND EMAIL TO hidalgoroberto859@gmail.com WITH SUBJECT YOUR COMPUTER/PC/IP NAME AND WITH BODY/MESSAGE "I'M DONE WITH PAYMENT".
- AFTER YOU FINISH WITH PAYMENT, I SEND DECRYPTOR PROGRAM.
- TIME EXPIRED IN 30 DAYS FROM NOW.
HOR
HentaiOniichanRansomware<HOR>

Перевод записки на русский язык: 
HENTAI ONICHAN RANSOMWARE VERSION BERSERKER
ДЛЯ ВОССТАНОВЛЕНИЯ ДАННЫХ:
- ЗАПЛАТИТЕ 10 BTC (BITCOIN).
- ОТПРАВЬТЕ ТОЛЬКО НА ЭТОТ БИТКОИН КОШЕЛЕК "ТОЛЬКО НА ЭТО БИТКОИН АДРЕС"
= bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu
- НЕТ НУЖНЫ ПЕРЕГОВОРЫ, МОЙ АНГЛИЙСКИЙ ПЛОХОЙ, НЕ ТЕРЯТЕ ВРЕМЯ.
- ОТПРАВЬТЕ EMAIL НА hidalgoroberto859@gmail.com, УКАЗАВ В ТЕМЕ ИМЯ ВАШЕГО КОМПЬЮТЕРА /ПК/IP И В ТЕЛЕ/СООБЩЕНИИ "Я СДЕЛАЛ ОПЛАТУ".
- ПОСЛЕ ОПЛАТЫ ПРИШЛЮ ДЕШИФРОВЩИК.
- ВРЕМЯ ПОШЛО, ОСТАЛОСЬ 30 ДНЕЙ.
HOR
HentaiOniichanRansomware <HOR



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама на тему COVID-19 и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует технологии Microsoft Powershell, CMD для осуществления атаки.

➤ Стремится максимально затруднить восстановление за счет удаления резервных копий файлов, созданных в разных программах, ориентированных на создание бэкапов. Для этого производится дополнительное удаление резервных копий и файлов образов дисков по расширениям и каталогам. В частности осуществляется поиск файлов со следующими расширениями: .vhd, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. 

Список отключаемых служб: 
Acronis VSS Provider
AcronisAgent
AcrSch2Svc
Antivirus
ARSM
AVP
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bedbg
ccEvtMgr
ccSetMgr
Culserver
dbeng8
dbsrv12
DCAgent
DefWatch
EhttpSrv
ekrn
Enterprise Client Service
EPSecurityService
EPUpdateService
EraserSvc11710
EsgShKernel
ESHASRV
FA_Scheduler
IISAdmin
IMAP4Svc
KAVFSGT
kavfsslp
klnagent
macmnsvc
masvc
MBAMService
MBEndpointAgent
McAfeeEngineService
McAfeeFrameworkMcAfeeFramework
McShield
McTaskManager
mfefire
mfemms
mfevtp
MMS
mozyprobackup
MsDtsServer100
MsDtsServer110
MSExchangeES
MSExchangeIS
MSExchangeMGMT
MSExchangeMTA
MSExchangeSA
MSExchangeSRS
msftesql$PROD
msmdsrv
MSOLAP$SQL_2008
MSOLAP$SYSTEM_BGC
MSOLAP$TPSAMA
MSSQL$BKUPEXEC
MSSQL$ECWDB2
MSSQL$PRACTICEMGT
MSSQL$PRACTTICEBGC
MSSQL$PROD
MSSQL$PROFXENGAGEMENT
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SOPHOS
MSSQL$SQL_2008
MSSQL$SQLEXPRESS
MSSQL$SYSTEM_BGC
MSSQL$TPSAMA
MSSQL$VEEAMSQL2008R2
MSSQL$VEEAMSQL2012
MSSQLFDLauncher$PROFXENGAGEMENT
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLFDLauncher$SQL_2008
MSSQLFDLauncher$SYSTEM_BGC
MSSQLFDLauncher$TPSAMA
MSSQLSERVER
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL57
MySQL80
NetMsmqActivator
ntrtscan
OracleClientCache80
PDVFSService
POP3Svc
QBCFMonitorService
QBIDPService
QuickBoooks.FCS
ReportServer$SQL_2008
ReportServer$SYSTEM_BGC
ReportServer$TPSAMA
RESvc
RTVscan
SAVAdminService
SavRoam
SAVService
SepMasterService
ShMonitor
Smcinst
SmcService
SMTPSvc
SNAC
SntpService
Sophos Agent
Sophos AutoUpdate Service
Sophos Clean Service
Sophos Device Control Service
Sophos File Scanner Service
Sophos Health Service
Sophos MCS Agent
Sophos MCS Client
Sophos Message Router
Sophos Safestore Service
Sophos System Protection Service
Sophos Web Control Service
sophossps
SQL Backups
sqladhlp
SQLADHLP
sqlagent
SQLAgent$BKUPEXEC
SQLAgent$CITRIX_METAFRAME
SQLAgent$CXDB
SQLAgent$ECWDB2
SQLAgent$PRACTTICEBGC
SQLAgent$PRACTTICEMGT
SQLAgent$PROD
SQLAgent$PROFXENGAGEMENT
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SOPHOS
SQLAgent$SQL_2008
SQLAgent$SQLEXPRESS
SQLAgent$SYSTEM_BGC
SQLAgent$TPSAMA
SQLAgent$VEEAMSQL2008R2
SQLAgent$VEEAMSQL2012
sqlbrowser
SQLBrowser
SQLsafe Backup Service
SQLsafe Filter Service
SQLSafeOLRService
sqlserv
SQLSERVERAGENT
SQLTELEMETRY$ECWDB2
sqlwriter
SQLWriter
svcGenericHost
swi_filter
swi_service
swi_update_64
Symantec System Recovery
TmCCSF
tmlisten
tomcat6
TrueKeyScheduler
TrueKeyServiceHelper
UI0Detect
Veeam Backup Catalog Data Service
VeeamBackupSvc
VeeamBrokerSvc
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploymentService
VeeamDeploySvc
VeeamEnterpriseManagerSvc
VeeamHvIntegrationSvc
VeeamMountSvc
VeeamNFSSvc
VeeamRESTSvc
VeeamTransportSvc
vmware-converter
vmware-usbarbitator64
W3Svc
wrapper
WRSVC


Список файловых расширений, подвергающихся шифрованию:
Все популярные форматы, кроме игнорируемых. 
Это наверяка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и различные резервные копии и пр.

Список игнорируемых расширений:
.bak, .bin, .c, .cmd, .com, .cpp, .dat, .DAT, .db, .dll, .exe, .h, .hpp, .inf, .ini, .ink, .js, .lib, .lnk, .ps1, .sys, .vbs, .ws

Файлы, связанные с этим Ransomware:
update.pdb
2020Q3PH.pdb
warning.htm - название файла с требованием выкупа
recent_invoice_view.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Roberto\Desktop\items\Release\update.pdb
%USERPROFILE%\Desktop\items\Release\update.pdb
%USERPROFILE%\source\repos\2020Q3PH\Release\2020Q3PH.pdb
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\rijndael_simd.cpp
C:\Users\Vlv1337\Desktop\cryptopp-CRYPTOPP_8_2_0\sha_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншот от исследователя: 

Сетевые подключения и связи:
Email: hidalgoroberto859@gmail.com 
BTC: bc1qrt3tv5ahme3ex2mkx5txd9vekpplc50wnujzgu 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2020: 
Расширение: .HOR
Новый вариант "King Engine" и нацелен на отрасль здравоохранения. 
Пересылает данные на email-адрес, обнаруженный в исполняемом файле. 
Эта версия шифрует также файлы с расширением .docm
Требует более высокий выкуп в 50 BTC (~ $650000). 


Вариант от 2 декабря 2020: 
Статья об этом варианте >> 
Расширение: .HOR
Файл: Fatality_DIed.dll
Результаты анализов: VT+ IA + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 VMRay, Cofense
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 8 сентября 2020 г.

Flamingo

Flamingo Ransomware

Variants: Flamingo, LandSlide, Lizard, DoNotWorry, Summon, VILKAS, HYDRA 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (разные комбинации), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Flamingo и Flamingo Ransomware. На файле написано: Flamingo.exe. Вымогатели называют себя King Of Ransom. В последующих вариантах стали использоваться другие названия (см. в разделе обовлений). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32508
BitDefender -> Trojan.GenericKD.43799432, Trojan.GenericKD.43805854
Avira (no cloud) -> TR/FileCoder.ajkop, HEUR/AGEN.1129606
ESET-NOD32 -> Win32/Filecoder.ODG, A Variant Of Win32/Filecoder.ODG, Win32/Filecoder.Flamingo.A
Malwarebytes -> ***
Rising -> ***
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Tdzl, Win32.Trojan.Filecoder.Wptp
TrendMicro -> TROJ_GEN.R069H0CIB20, TROJ_GEN.R023H0CIC20, TROJ_GEN.R03BC0PJE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: TheDRM >> Flamingo, LandSlide, Lizard, DoNotWorry

Flamingo Ransomware 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .FLAMINGO

Фактически используется составное расширение по формату [<email>]
[ID=XXXXXXXX]<filename>.FLAMINGO

Пример зашифрованного файла: [FlamingoRans@tutamail.com][ID=0EA5BCFF]document001.doc.FLAMINGO


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Штамп даты: 21 августа 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #READ ME.TXT

Flamingo Ransomware

Содержание записки о выкупе:
||||||||----[ All your data is encrypted by a strong encryter called FLAMINGO ]----||||||||
================================== # Unique ID : 10B65F10
================================== # E-mail : FlamingoRans@tutamail.com
############################################################################################
" PLEASE BE CAREFUL " : 
if your data is important to you, And you want to make a payment, be sure 
to send us a test file first(3 Mb),And make sure we have the ability to 
open your files(Decrypt test files).So first send the test file to prove 
that we can decrypt your files, Then make a payment (Buy BTC) and receive the 
decryption tool (Send Decrypter).
############################################################################################
If you do not receive a reply after sending us an email,
please send an email to the second email address.
second E-mail : FlamingoRans@protonmail.com
############################################################################################

Перевод записки на русский язык:
||||||||----[Все ваши данные зашифрованы надежным шифровальщиком FLAMINGO]----||||||||
================================== # Уникальный ID: 10B65F10
================================== # Email: FlamingoRans@tutamail.com
################################################ #########################################
" ПОЖАЛУЙСТА, ОСТОРОЖНО " :
если ваши данные важны для вас, и вы хотите заплатить, обязательно
сначала пришлите нам тест-файл (3 Мб) и убедиться, что у нас есть возможность
открыть ваши файлы (расшифровать тест-файлы). Так что сначала пришлите тест-файл для проверки
что мы можем расшифровать ваши файлы, затем сделайте оплату (купите BTC) и получите инструмент дешифрования (Send Decrypter).
############################################### #########################################
Если вы не получили ответа после отправки нам email,
отправьте email на второй email-адрес.
второй E-mail: FlamingoRans@protonmail.com
############################################### #########################################



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Flamingo.exe - название вредоносного файла; 
#READ ME.TXT - название файла с требованием выкупа, в более новых вариантах название может быть другим; 
<random>.exe - случайное название вредоносного файла;
key.txt - специальный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%USERPROFILE%\Crypto\
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
FlamingoRans@tutamail.com
FlamingoRans@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

TheDMR Ransomware - с декабря 2019 по октябрь 2020 с вариантами DMR64, Clown, NotFound, Clown+, Valley, ALVIN

Flamingo Ransomware - с сентября 2020 в 2021 год с вариантами: 
Flamingo - сентябрь 2020
LandSlide - ноябрь 2020
Lizard - ноябрь 2020 - январь 2021
DoNotWorry - январь 2021
Summon - январь 2021
Vilkas - март 2021



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 октября 2020: 
Расширение: .FLAMINGO
Пример зашифрованого файла: [OwnerRansom@tutanota.com][ID=28C68F19]Configuracion.pdf.FLAMINGO
Email: OwnerRansom@tutanota.com, OwnerRansom@protonmail.com
Записка: #READ ME.TXT



Вариант от 25 октября 2020:
Расширение: .FLAMINGO
Пример зашифрованного файла: [OwnerRansom@tutanota.com][ID=C0BCDB10]eula.1033.txt.FLAMINGO
Email: OwnerRansom@tutanota.com, MrArturX@yandex.ru
Записка: #READ ME.TXT

Файл проекта: 
C:\Users\AnonyMous\Documents\Visual Studio 2015\Projects\Binary\Release\ConsoleApplication7.pdb
Результаты анализов: VT + AR + IA + TG


Вариант от 14 октября 2020: 
Расширение: .FLAMINGO
Пример зашифрованого файла: [RansSupport@elude.in][ID=ECBE3D7C]Filename.docx.FLAMINGO
Email: RansSupport@elude.in, MrArturX@yandex.ru
Записка: #READ ME.TXT



Вариант от 16 ноября 2020:
Расширение: .LIZARD
Пример зашифрованного файла: [LizardInfo@yandex.ru][id=460B22EA]Filename.docx.LIZARD
Записка: #READ ME.TXT
Email: LizardInfo@yandex.ru, LizardSup@tutanota.com



Вариант от 24 ноября или раньше:
Отдельная статья LandSlide Ransomware >>
Вымогатели называют себя King Of Ransom LANDSLIDE Ran$omW4rE.
Расширение: .LANDSLIDE
Составное расширение (шаблон): [<email_ransom>][id=XXXXXXXX]Document.pdf.LANDSLIDE
Составное расширение (пример): [nataliaburduniuc96@gmail.com][id=D2C85***]Document.pdf.LANDSLIDE
Email: nataliaburduniuc96@gmail.com, aliseoanal@gmail.com
Записки: #ReadThis.HTA, #ReadThis.TXT



 Содержание записки о выкупе: 
Your SERVER/COMPUTER is encrypted by us !_
Hello Admin/Guest!
[ENCRYPTER] => All your data is encrypted by us ..
[ENCRYPTER] => Your Server Unique ID : [D2C85***]
[ENCRYPTER] => Do you want to decrypt your data?
[ENCRYPTER] => To trust us, first send us a 100-200 KB file,
we will decrypt it to build trust for you.
[AFTERTRUST] => What should you do after building trust?
Help
(
All your data is encrypted,
If your data is important and you want to decrypt it,
You must pay the bitcoin amount set by us,
Send a message to our emails first, after pricing, us and your trust,
Do a Google search to buy bitcoins,
For example: "Buy bitcoins in rubles".
After purchasing Bitcoin, you must 
transfer the Bitcoin to our wallet,
After payment, the decryption tool will be sent to you
along with how to execute it properly
)
ENCRYPTER@server ~ $ To contact us, first send a message to our first email.
[FiRsT Email:] nataliaburduniuc96@gmail.com
ENCRYPTER@server # If your email is not answered after 24 hours, our email may be blocked.
So send a message to our second email.
[SeCoNd email:] aliseoanal@gmail.com
King Of Ransom
LANDSLIDE Ran$omW4rE

Вариант от 30 декабря 2021:
Расширение: .LIZARD
Пример зашифрованного файла: [DeathSpicy@yandex.ru][id=365430DB]Filename.docx.LIZARD
Email: DeathSpicy@yandex.ru, DeathSpicy@tutanota.com
Записки: #ReadThis.TXT, #ReadThis.HTA



➤ Содержание записки: 
Your SERVER/COMPUTER is encrypted by us !_
Hello Admin/Guest!
[ENCRYPTER] => All your data is encrypted by us ..
[ENCRYPTER] => Your Server Unique ID : [ XXXXXXXX ]
[ENCRYPTER] => Do you want to decrypt your data?
[ENCRYPTER] => To trust us, first send us a 100-200 KB file,
we will decrypt it to build trust for you.
[AFTERTRUST] => What should you do after building trust?
Help
(
All your data is encrypted,
If your data is important and you want to decrypt it,
You must pay the bitcoin amount set by us,
Send a message to our emails first, after pricing, us and your trust,
Do a Google search to buy bitcoins,
For example: "Buy bitcoins in rubles".
After purchasing Bitcoin, you must 
transfer the Bitcoin to our wallet,
After payment, the decryption tool will be sent to you
along with how to execute it properly
)
ENCRYPTER@server ~ $ To contact us, first send a message to our first email.
[FiRsT Email:] DeathSpicy@yandex.ru
ENCRYPTER@server # If your email is not answered after 24 hours, our email may be blocked.
So send a message to our second email.
[SeCoNd email:] DeathSpicy@tutanota.com
King Of Ransom
LIZARD Ran$omW4rE
---
Важное дополнение! 
Пострадавшие сообщают о том, что атака с шифрованием файлов началась сразу после установки расширения для браузера Touch VPN - Secure and unlimited VPN proxy: xxxxs://chrome.google.com/webstore/detail/touch-vpn-secure-and-unli/bihmplhobchoageeokmgbdihknkjbknd/

Malware

Вариант от 10-11 января 2021: 
Расширение: .LIZARD
Пример зашифрованного файла: [MrDecrypter@yandex.com][id=2C123E45]document.txt.LIZARD
Email: MrDecrypter@yandex.com, MrD3crypter@tuta.io
Записка: #ReadThis.TXT



Вариант от 10-11 января 2021: 
Расширение: .DoNotWorry
Пример зашифрованного файла: [elixuwaril@gmail.com][id=165F421C]document.txt.DoNotWorry
Дополнительные файлы: 
[ID=165F421C][ID=165F421C][ID=165F421C][id=165F421C]versions.txt
[id=165F421C]part1603.log
Email: elixuwaril@gmail.com, donuvnami@gmail.com
Записки: #ReadThis.TXT, #ReadThis.HTA



 Содержание записки: 
Your SERVER/COMPUTER is encrypted by us !_
Hello Admin/Guest!
[ENCRYPTER] => All your data is encrypted by us ..
[ENCRYPTER] => Your Server Unique ID : [ B8D91*** ]
[ENCRYPTER] => Do you want to decrypt your data?
[ENCRYPTER] => To trust us, first send us a 100-200 KB file,
we will decrypt it to build trust for you.
[AFTERTRUST] => What should you do after building trust?
Help
(
All your data is encrypted,
If your data is important and you want to decrypt it,
You must pay the bitcoin amount set by us,
Send a message to our emails first, after pricing, us and your trust,
Do a Google search to buy bitcoins,
For example: "Buy bitcoins in rubles".
After purchasing Bitcoin, you must 
transfer the Bitcoin to our wallet,
After payment, the decryption tool will be sent to you
along with how to execute it properly
)
ENCRYPTER@server ~ $ To contact us, first send a message to our first email.
[FiRsT Email:] elixuwaril@gmail.com
ENCRYPTER@server # If your email is not answered after 24 hours, our email may be blocked.
So send a message to our second email.
[SeCoNd email:] donuvnami@gmail.com
King Of Ransom


Вариант от 14 января 2021:
Расширение: .Summon 
Пример зашифрованного файла: [Dude@mailfence.com][id=C879E678]SQLAGENT.8.SUMMON
Email: Dude@mailfence.com, Summon@nuke.africa
Записки: #ReadThis.TXT, #ReadThis.HTA



 Содержание записки: 
Your SERVER/COMPUTER is encrypted by us !_
Hello Admin/Guest!
[ENCRYPTER] => All your data is encrypted by us ..
[ENCRYPTER] => Your Server Unique ID : [ C879E*** ]
[ENCRYPTER] => Do you want to decrypt your data?
[ENCRYPTER] => To trust us, first send us a 100-200 KB file,
we will decrypt it to build trust for you.
[AFTERTRUST] => What should you do after building trust?
Help
(
All your data is encrypted,
If your data is important and you want to decrypt it,
You must pay the bitcoin amount set by us,
Send a message to our emails first, after pricing, us and your trust,
Do a Google search to buy bitcoins,
For example: "Buy bitcoins in rubles".
After purchasing Bitcoin, you must 
transfer the Bitcoin to our wallet,
After payment, the decryption tool will be sent to you
along with how to execute it properly
)
ENCRYPTER@server ~ $ To contact us, first send a message to our first email.
[FiRsT Email:] Dude@mailfence.com
ENCRYPTER@server # If your email is not answered after 24 hours, our email may be blocked.
So send a message to our second email.
[SeCoNd email:] Summon@nuke.africa
King Of Ransom
SUMMON Ran$omW4rE


Вариант от 7 марта 2021:
Расширение: .VILKAS
На литовском языке vilkas - это волк. 
Пример зашифрованного файла: [italykarlmarx@gmail.com][id=7C8AEE25]image001.jpg.VILKAS
Email: italykarlmarx@gmail.com, felsalentina@gmail.com


Вариант от 14 апреля 2021: 
Расширение: .LIZARD
Пример зашифрвоанного файла: [BTCDecrypter@gmail.com][id=AE5C31C3]11-01-2021.zip.LIZARD
Записки: #ReadThis.TXT, #ReadThis.HTA
Email: BTCDecrypter@gmail.com, BTCDecrypter@yandex.com




Варианты от 30 июля 2021: 
Расширение: .HYDRA
Пример зашифрованного файла: [gooodperson@yandex.ru][ID=86046FB8]original_filename.HYDRA
Записка: #FILESENCRYPTED.txt
Email: gooodperson@yandex.ru, gooodperson@mailingaddress.org
Результаты анализов: VT 




Вариант от 18 августа 2021:
Расширение: .HYDRA
Пример зашифрованного файла: [HydaHelp1@tutanota.com][ID=victim's_ID]original_filename.HYDRA
Записка: #FILESENCRYPTED.txt
Email: HydaHelp1@tutanota.com
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34351
BitDefender -> Gen:Variant.Ransom.Hydra.1
ESET-NOD32 -> Win32/Filecoder.OIH
Kaspersky -> HEUR:Trojan-Ransom.Win32.DMR.gen
Microsoft -> Ransom:Win32/Hydra.PAC!MTB



Вариант от 1 октября 2021:
Самоназвание: HYDRA Ransomware
Расширение: .HYDRA
Пример зашифрованного файла: [supransomware2021@keemail.me][ID=0C287F38]desktop.ini.HYDRA


Записка: #FILESENCRYPTED.txt


Специальный файл: D9F57D92.txt


Email: supransomware2021@keemail.me, suppransomware2021@yandex.com
Mutex: Local\$hYdr4Rans$
Результаты анализов: VT + IATG + HA
Обнаружения: 
DrWeb -> Trojan.Encoder.34431
ALYac -> Gen:Variant.Ransom.Hydra.1
BitDefender -> Gen:Variant.Ransom.Hydra.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIH
Kaspersky -> HEUR:Trojan-Ransom.Win32.DMR.gen
Malwarebytes -> Malware.AI.2453785575
Microsoft -> Ransom:Win32/Hydra.PAC!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wrgf
TrendMicro -> Ransom_Hydra.R002C0DJ121


Вариант от 8 ноября 2021: 
Расширение: .HYDRA
Пример зашифрованного файла: [hydrarans@yandex.com][ID=7CA06C98]Навес 3D.pdf.HYDRA
Записка: #FILESENCRYPTED.txt
Email: hydrarans@yandex.com, hydraransomware@aol.com




=== 2022 ===

Вариант от 9 января 2022: 
Расширение: .DRWEB
Пример зашифрованного файла (реконструкция, не подтверждено): [drweb.dec@yandex.ru][ID=7CA06C98]document.pdf.DRWEB
Записка: #FILESENCRYPTED.txt
Email: drweb.dec@yandex.ru, drweb.dec@tutanota.com



Вариант от 10 мая 2022:
Расширение: .HYDRA
Пример зашифрованного файла: [decrypterbtc@gmail.com][ID=XXXXXXXX]PICT0001.JPG.HYDRA
Записка: #FILESENCRYPTED.txt
Email: decrypterbtc@gmail.com, decrypterbtc2@gmail.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Flamingo или некоторые под The DRM)
 Write-up, Topic of Support
 * 
Внимание! 
В некоторых случаях файлы можно расшифровать. 
Закажите расшифровку в DrWeb по ссылке: 
https://legal.drweb.ru/encoder/?lng=ru
https://legal.drweb.com/encoder/?lng=en
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 Alex Svirid, Sandor
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *