SifreCikis

SifreCikis Ransomware

TurkSifre-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: SifreCozucu > SifreCikis

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение, шаблон которого можно записать как: 

.<RANDOM_PC_ID{12}>

или 

.<PC_ID{12}>

Пример такого расшиения: .E02F4934FC5A

Этимология названия:

Используемый вымогателями адрес sifrecikx7s62cjv.onion начинается на фразу "sifrecikx", это созвучно sifre cikis (по-турецки: şifre çıkış - шифр + выход). 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г., но могла бы и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе: 

DOSYALARINIZ SIFRELENDI....

DOSYALARINIZIN SIFRESINI COZMEK ICIN.

nitas811@protonmail.com MAIL ADRESIMIZE

KONU KISMINDA PC ID'NIZ [xxxxxxxxxxxx] OLAN MAIL ATINIZ..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

PROGRAM UCRETI : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

MAIL ADRESIMIZDEN AYNI GUN ICINDE CEVAP ALAMAZSANIZ EGER..!

WEB SITEMIZDEN GUNCEL MAIL ADRESIMIZE ULASABILIRSINIZ..

WEB SITEMIZ : http://www.sifrecikx7s62cjv.onion

WEB SITEMIZ SADECE TOR BROWSER ILE ACILMAKTADIR..

TOR BROWSER INDIRME ADRESI : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

DATA KURTARMA SERVISLERI YADA PROGRAMLARI KULLANMAK ISTERSENIZ

LUTFEN DOSYALARINIZIN YEDEGINI ALIN..

ALDIGINIZ BU YEDEKLER UZERINDEN ISLEM YAPINIZ VEYA YAPTIRINIZ.

DOSYALARINIZI SILMEYINIZ VE ISIMLERINI DEGISTIRMEYINIZ.

ASIL DOSYALARIN BOZULMASI,

VERILERINIZIN GERI DONULEMEZ SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

Перевод записки на русский язык: 

Ваши файлы зашифрованы....

Для расшифровки ваших файлов

Пишите на наш email nitas811@protonmail.com

В теме письма укажите email адрес с PC ID[xxxxxxxxxxxx].

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Стоимость программы: 500 $

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы не получите ответ с нашего email адреса в тот же день..!

Вы можете связаться с нами по email адресу на нашем веб-сайте.

Наш сайт: http://www.sifrecikx7s62cjv.onion

Наш сайт работает только с браузером Tor.

Адрес загрузки браузера Tor: https://www.torproject.org/tr/download

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы хотите использовать сервисы или программы восстановления данных

Пожалуйста, сделайте резервную копию ваших файлов..

Примите меры к этим резервным копиям, которые вы сделали или уже сделали.

Не удаляйте файлы и не меняйте их имена.

Повреждение исходных файлов,

приведет к необратимому повреждению ваших данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://www.sifrecikx7s62cjv.onion

Email-1: nitas811@protonmail.com

Email-2: niduz59@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлениеот 12 ноября 2020:

Пост на форуме >>

Расширение: .<RANDOM_PC_ID{12}>

Email: niduz59@protonmail.com

Tor-URL: http://www.sifrecikx7s62cjv.onion

➤ Содержание записки:

Dosyalariniz sifrelendi, dosyalarinizin sifresini cozmek icin.

niduz59@protonmail.com mail adresimize

Konu kisminda PC ID'niz [000A5E3E6B8C] olan mail atiniz.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

             Program Ucreti : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Cok fazla sikayet oldugu icin mail adreslerimiz surekli kapatilmaktadir.!

Bu yuzden mailinize 3/4 saat icinde cevap alamazsaniz

Web sitemizden guncel mail adresimize ulasabilirsiniz..

Web sitemiz : http://www.sifrecikx7s62cjv.onion

Web sitemiz sadece Tor Browser ile acilmaktadir..

Tor Browser indirme adresi : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Data kurtarma servisleri yada programlari kullanmak isterseniz

Lutfen dosyalarinizin yedegini aliniz..

Aldiginiz bu yedekler uzerinde islem yapiniz veya yaptiriniz..

Dosyalarinizi silmeyiniz ve isimlerini degistirmeyiniz..

Asil dosyalarinizin bozulmasi..

VERILERINIZIN KURTARILAMAYACAK SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Not : iLetisim icin lutfen FIRMA MAILINIZI kullaniniz.

Firma maili olmayan BUTUN mailler okunmadan  'SPAM' olarak isaretlenip silinmektedir..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Tripoli

Tripoli Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Tripoli ransomware. На файле написано: нет данных.
---
Обнаружения (образец от 31 марта 2021): 
DrWeb -> Trojan.Encoder.33744
BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

---

© Генеалогия: ???  >> Tripoli

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение, состоящее из сокращенного названия атакованной компании (компьютера) + слово "crypt".

Шаблон: .<company_name>crypt или .<pc_name>crypt

Пример: .bestsoftcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: HOW_FIX_FILES.htm

Содержание записки о выкупе:

All files including videos, photos and documents on your computer are encrypted by Tripoli ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address: 7v2fgph2jakawhul.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

E4D50***** [total 40 HEX characters]

Перевод записки на русский язык:

Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы Tripoli ransomware.

Расшифровка файлов стоит денег.

Для расшифровки файлов вам надо сделать следующие шаги:

1. Вам надо загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес: 7v2fgph2jakawhul.onion

3. Следуйте инструкциям на сайте. Напоминаем, что чем раньше вы это сделаете, тем больше будет шансов восстановить файлы.

Гарантированное восстановление только в течении 10 дней.

ВАЖНАЯ ИНФОРМАЦИЯ

Вам надо ввести личный код на сайте tor.

Ваш личный КОД:

E4D50***** [всего 40 знаков HEX]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_FIX_FILES.htm - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 7v2fgph2jakawhul.onion

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: для раннего варианта не найдены.
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант января 2021:

Пост на форуме >>

Вариант от 31 марта 2021:

Сообщение >>

Сообщение >>

Расширение (пример): .uniwinnicrypt

Расширение (шаблон): .<company_name>crypt

Записка: HOW_FIX_FILES.htm

 

Файл: SearchUI.exe

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33744

BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

*** пропущенные варианты ***

Вариант от 7 декабря 2021:

Расширение: .Cat4er

Записка: HOW_FIX_FILES.htm

➤ Содержание записки: 

Hello

All files including videos, photos and documents on your computer are encrypted by Cat4er ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser: https://www.torproject.org/download/

2. After installation, run the browser and enter the address: b6eiwvxyjjsiesbtimdyaif6dzmnxepq5ye7j4g6tejw3k56fqehrbyd.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

CCD001*** [всего 40 знаков HEX]

---

Скриншоты с сайта вымогателей

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Tripoli)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 quietman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pay2Key

Pay2Key Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. Вероятно управляется из Ирана. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028, Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> TR/AD.Pay2keyRansom.xdwes, TR/FileCryptor.gufqt, TR/FileCryptor.kykon
ESET-NOD32 -> A Variant Of Generik.DVXTLZU, A Variant Of Win32/Filecoder.OEU
Malwarebytes -> Ransom.FileCryptor, Ransom.Pay2Key

Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Pay2Key

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pay2key


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии. 

Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT

Содержание записки о выкупе: 

PAY2KEY

HELLO *** USERS!

Congratulations!

Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/

applications/ databases/etc... in your network has been successfully encrypted!

Some of your important information dumped and ready to leak, in case we can't make a good deal!

Don't modify encrypted files or you can damage them and decryption will be impossible!

Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!

There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!

You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and

waiting for your payment, let's do it!

You can send 4 random files from any computers and receive decrypted data, just as a proof that works!

Your UserlD IS: ***

Your Network ID ***

| NOTICE |

Offer available until 11/08/2020. If you do not pay on time, price will be doubled!

Wallet: ***

E-mail: 

pay2key@tuta.io

pay2key@pm.me

Keybase: 

Pay2Key

Перевод записки на русский язык: 

Поздравляем!

Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /

приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!

Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!

Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!

Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!

Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!

Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и

ждем оплаты, давайте!

Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!

Ваш UserlD: ***

Ваш Network ID ***

| УВЕДОМЛЕНИЕ |

Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!

Кошелек: ***

E-mail:

pay2key@tuta.io

pay2key@pm.me

Keybase:

Pay2Key

ASCII-арт в записке настраивается для каждой организации. 

Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной. 

Вместо звездочек *** должно быть то, что было скрыто исследователями. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: группа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Эта запущенная иранскими хакерами вредоносная кампания является частью продолжающейся киберконфронтации между Израилем и Ираном. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации. 

Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.

Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.

На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда: 

Shutdown /r /f /t 0

Подробности о шифровании:

Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет. 

Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).

Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа

Cobalt.Client.exe - исполняемый файл Pay2Key

Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".

Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения

ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления

Cobalt.Client.pdb - оригинальный файл проекта

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe

F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Некоторые другие образцы можно найти на сайте BA:

https://bazaar.abuse.ch/browse/tag/Pay2key/

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 июня 2025: 

Сообщение >>

Расширение: .<random>

Пример расширения: .qchrt6

Записка (на 5 языках): HowToRestoreFiles.txt

URL: client.pay2key.com

i2p: pay2keys7rgdzrhgzxyd7egpxc2pusdrkofmqfnwclts2rnjsrva.b32.i2p

IOC: VT, IA

MD5: 0119effb55acd0c1628e33be938d8658 

SHA-1: bf772f7c8fce70131052840d2d4209eab7ef8b13 

SHA-256: d81de4ce12795d8ba4e019f555a30a4085a9d86ceea3d5f5470e6fd97a541ab3 

Vhash: 056046655d15103013zb005d215z3045z72z37fz 

Imphash: f6baa5eaa8231d4fe8e922a2e6d240ea

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Pay2Key)
 Write-up, Topic of Support
 Added later: Write-up by BC >> 

 Thanks: 
 CheckPoint, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.