SayLess

SayLess Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: SayLess Ransomware, SayLess-Ransomware. На файле написано: SayLessRnm Window.exe и SayLessRnm Window. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34411
BitDefender -> Trojan.GenericKD.37749517
ESET-NOD32 -> A Variant Of MSIL/Agent.CCK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> SayLess 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .saylessrsnm

Записка с требованием выкупа называется: SAYLESS-RANSOMWARE.saylessrsnm.txt

Содержание записки о выкупе:

Your computer has been infected by SayLess-Ransomware.

All your data and files have been encrypted with a MILITARY-GRADE LEVEL ENCRYPTION. To unlock them,

 send 500$ to the BTC adress below to get decryption key and restore your data...

Or else your files are lost!

DO NOT TURN OFF YOUR PC, IF YOU SO ALL YOUR FILES WILL BE CORRUPTED FOREVER.

Encryption Log:

====================================

C:\Users\Admin\Desktop\AssertOptimize.rtf

C:\Users\Admin\Desktop\CheckpointUnblock.mhtml

C:\Users\Admin\Desktop\ConfirmApprove.crw

C:\Users\Admin\Desktop\ConvertToPublish.xlsx

C:\Users\Admin\Desktop\DebugSkip.png

C:\Users\Admin\Desktop\desktop.ini

C:\Users\Admin\Desktop\DisableExpand.midi

C:\Users\Admin\Desktop\DismountPing.htm

C:\Users\Admin\Desktop\ExportSave.midi

C:\Users\Admin\Desktop\FindMount.DVR-MS

C:\Users\Admin\Desktop\GrantImport.doc

C:\Users\Admin\Desktop\InstallCopy.bat

C:\Users\Admin\Desktop\InstallFind.scf

C:\Users\Admin\Desktop\MeasureSplit.ps1

C:\Users\Admin\Desktop\MoveHide.mp4

C:\Users\Admin\Desktop\OutEnter.mp4

C:\Users\Admin\Desktop\RedoTrace.edrwx

C:\Users\Admin\Desktop\RenameDisconnect.odp

C:\Users\Admin\Desktop\SkipAdd.png

C:\Users\Admin\Desktop\SplitProtect.pot

C:\Users\Admin\Desktop\StepPublish.MTS

C:\Users\Admin\Desktop\UndoAdd.eprtx

C:\Users\Admin\Desktop\UnregisterSwitch.rmi

C:\Users\Admin\Desktop\UnregisterUndo.pps

C:\Users\Admin\Pictures\AddGet.dwg

C:\Users\Admin\Pictures\BlockDisable.dxf

C:\Users\Admin\Pictures\CheckpointSelect.dxf

C:\Users\Admin\Pictures\CompressStart.eps

C:\Users\Admin\Pictures\ConnectEnable.dib

C:\Users\Admin\Pictures\ConvertExit.svg

C:\Users\Admin\Pictures\ConvertToOpen.dib

C:\Users\Admin\Pictures\desktop.ini

C:\Users\Admin\Pictures\DisconnectBlock.eps

C:\Users\Admin\Pictures\DismountNew.wmf

C:\Users\Admin\Pictures\EnterUninstall.tif

C:\Users\Admin\Pictures\ExportPop.eps

C:\Users\Admin\Pictures\HidePing.emf

C:\Users\Admin\Pictures\HideReset.ico

C:\Users\Admin\Pictures\MeasureDebug.tif

C:\Users\Admin\Pictures\OpenTrace.tif

C:\Users\Admin\Pictures\ProtectConfirm.png

C:\Users\Admin\Pictures\ProtectSync.bmp

C:\Users\Admin\Pictures\PublishCompare.dwg

C:\Users\Admin\Pictures\PushCheckpoint.ico

C:\Users\Admin\Pictures\RegisterReset.bmp

C:\Users\Admin\Pictures\ResolveEdit.emf

C:\Users\Admin\Pictures\SendHide.pcx

C:\Users\Admin\Pictures\StepConvertFrom.png

C:\Users\Admin\Pictures\SuspendClose.emz

C:\Users\Admin\Pictures\UnblockInvoke.tif

C:\Users\Admin\Pictures\UpdateConvertTo.jpg

C:\Users\Admin\Pictures\Wallpaper.jpg

C:\Users\Admin\Documents\Are.docx

C:\Users\Admin\Documents\BlockApprove.vsd

C:\Users\Admin\Documents\CompleteFind.wps

C:\Users\Admin\Documents\ConfirmExit.mpp

C:\Users\Admin\Documents\ConvertToDisconnect.wps

C:\Users\Admin\Documents\desktop.ini

C:\Users\Admin\Documents\DismountInitialize.ppt

C:\Users\Admin\Documents\ExitRegister.vsw

C:\Users\Admin\Documents\ExitSend.odt

C:\Users\Admin\Documents\ExitSuspend.xlt

C:\Users\Admin\Documents\Files.docx

C:\Users\Admin\Documents\GrantSend.vsw

C:\Users\Admin\Documents\LimitRegister.doc

C:\Users\Admin\Documents\MeasureSuspend.rtf

C:\Users\Admin\Documents\Opened.docx

C:\Users\Admin\Documents\Recently.docx

C:\Users\Admin\Documents\RegisterSplit.ppt

C:\Users\Admin\Documents\RevokeOptimize.pot

C:\Users\Admin\Documents\SendFormat.potm

C:\Users\Admin\Documents\SuspendDeny.ppsx

C:\Users\Admin\Documents\These.docx

C:\Users\Admin\Documents\UnlockWrite.ods

C:\Users\Admin\Documents\UnregisterExit.vsdx

C:\Users\Admin\Documents\UseResolve.pptx

C:\Users\Admin\Documents\WritePing.docx

Перевод записки на русский язык:

Ваш компьютер заражен SayLess-Ransomware.

Все ваши данные и файлы зашифрованы ШИФРОВАНИЕ ВОЕННОГО УРОВНЯ. Чтобы разблокировать их, отправьте 500$ на BTC-адрес  ниже, чтобы получить ключ дешифрования и восстановить ваши данные ...

В противном случае ваши файлы потеряны!

НЕ ВЫКЛЮЧАЙТЕ ПК, ИНАЧЕ ВСЕ ВАШИ ФАЙЛЫ БУДУТ ПОВРЕЖДЕНЫ НАВСЕГДА.

Журнал шифрования:

***

Записка с требованием выкупа также написана на экране блокировки с таймером и BTC-адресом: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Ничего не известно о распространении, вероятно этот образец является тестовым или неотлаженным вариантом. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SAYLESS-RANSOMWARE.saylessrsnm.txt - название файла с требованием выкупа; 
SayLessRnm Window.exe - название вредоносного файла; 

SayLessRnm Window.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\Desktop\SAYLESS-RANSOMWARE.saylessrsnm.txt

C:\Users\Admin\AppData\Local\Temp\SayLessRnm Window.exe

C:\Users\Sermicro\source\repos\SayLessRnm Window\SayLessRnm Window\obj\Debug\SayLessRnm Window.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 52c527df9e7554e940c3c45b4e9b3e30

SHA-1: ae182f41baae6a5f3c05803933ba77578772233c

SHA-256: a6339f9ef7c91bc792626ff3765a46809dcada083c93a7e63fd01b0e91c1bb90

Vhash: 255036751511908615203020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Memento

Memento Ransomware

Memento Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель не шифрует данные, а копирует данные бизнес-пользователей в специальный архив, защищенный паролем, используя переименованную бесплатную версию WinRAR, а затем шифрует пароль и удаляет исходные файлы. Таким образом файлы оказываются зашифрованными с использованием возможностей архиватора WinRar (см. справку WinRar). Созданные архивы вымогатели перемещают в каталог на общем диске, к которому они получают доступ через RDP. 

Сама программа-вымогатель представляет собой скрипт Python 3.9, скомпилированный с помощью PyInstaller. Группа хакеров-вымогателей: Memento Team. Согласно наблюдениям специалистов Sophos, атаку вымогатели готовили около 6 месяцев, меняя инструменты, методы атаки и последовательность действий. 

---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: другие zip-rar-вымогатели >> Memento Py (Memento Team)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя началась в начале октября 2021 г. и продолжалась в течение месяца. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Вымогатели помещали файлы в незашифрованном виде в архивы, используя копию WinRAR, при этом сохраняя каждый файл в отдельном архиве с расширением .vaultz, а зашифрованный ключ с расширением .vault-key.

Записка с требованием выкупа называется: Hello Message.txt

Текст, вероятно, заимствован из записок Sodinokibi (REvil) Ransomware или прошел через несколько рук. Содержит грамматические ошибки (выделены красным цветом). 

Содержание записки о выкупе:

---===  Welcome. Again. ===---

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension 'vaultz' and 'vault-key'.

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

* All your outlook email has been backup-ed as pst file with password, too. You can recover whole email with our help.

[+] What guarantees? [+]

It's just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. It's not in our interests.

To check the ability of returning files, You can send file for decrypt. We provide decryption for only one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause JUST WE have the private key. In practise - time is much more valuable than money.

[+] Time limitation [+]

= ONE WEEK =

After ONE WEEK, i.e Octobor 29th 12:80AM, we can't help doing as follows

- the price will be DOUBLED

- your data will be made public day by day, i.e. we already have your critical data and we will make it public.

f our deal is broken or we detect suspicious behavior from you.

But if you agree our deal, we will surely RECOVER all your data and NEVER make it public.

[+] Our Price [+]

15.95 BTC   Private key for FULLY recover,

0.099BTC   per each document (doc, pdf, xls, csv, txt, ...)

0.98 BTC   per each large file more than 1GB (iso, pst, bak, vmdk, ...)

0.019 BTC   per each 10MB of smaller files (ini. Ink, log, ...)

* We have a willing of discounting the price if you honestly get along with us.

[+] How to get access to us? [+]

You have two ways:

1) [Recommended] Using telegram

a) Download and install telegram,

b) Send hi to + ***

2) If Telegram is blocked in your country, try to use mail address. For this:

a) Send hello msg to ***@protonmail.com.

* Warning: mail can be blocked or neglected, that's why first variant is much better and more available.

---

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result. The Loss whole data.

!!! !!! !!!

ONE MORE TIME: It's in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! 1!! !!!

Memento team

Перевод записки на русский язык:

--- === Добро пожаловать. Снова. === ---

[+] Что случилось? [+]

Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить: все файлы в вашей системе имеют расширения vaultz и vault-key.

Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).

* Вся ваша почта Outlook также была сохранена в виде pst-файла с паролем. С нашей помощью вы можете восстановить всю почту.

[+] Какие гарантии? [+]

Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - никто не будет сотрудничать с нами. Это не в наших интересах.

Чтобы проверить возможность возврата файлов, Вы можете отправить файл на расшифровку. Мы бесплатно предоставляем расшифровку только одного файла. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что ТОЛЬКО У НАС есть закрытый ключ. На практике - время стоит гораздо дороже денег.

[+] Ограничение по времени [+]

= ОДНА НЕДЕЛЯ =

После ОДНОЙ НЕДЕЛИ, то есть 29 октября 00:80, мы не можем не сделать следующее.

- цена будет УДВОЕНА

- ваши данные будут публиковаться каждый день, т.е. у нас уже есть ваши важные данные, и мы сделаем их общедоступными если наша сделка сорвана или мы обнаружим подозрительное поведение с вашей стороны.

Но если вы согласитесь с нашей сделкой, мы обязательно ВОССТАНОВИМ все ваши данные и НИКОГДА не опубликуем их.

[+] Наша цена [+]

15.95 BTC   Закрытый ключ для ПОЛНОГО восстановления,

0,099 BTC   за каждый документ (doc, pdf, xls, csv, txt, ...)

0,98 BTC   за каждый большой файл размером более 1 ГБ (iso, pst, bak, vmdk, ...)

0,019 BTC   за каждые 10 МБ файлов меньшего размера (ini. Ink, log, ...)

* У нас есть желание снизить цену, если вы честно с нами поладите.

[+] Как получить к нам доступ? [+]

У вас есть два пути:

1) [Рекомендуется] Использование Telegram

а) Скачайте и установите Telegram,

б) Передайте привет + ***

2) Если Telegram заблокирован в вашей стране, попробуйте использовать email-адрес. Для этого:

а) Отправьте приветственное сообщение на ***@protonmail.com.

* Предупреждение: почту можно блокировать или игнорировать, поэтому первый вариант намного лучше и доступнее.

---

!!! ОПАСНОСТЬ !!!

НЕ ПЫТАЙТЕСЬ изменять файлы сами, НЕ используйте какую-либо стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа, а также как результат Потеря всех данных.

!!! !!! !!!

ЕЩЕ ОДИН РАЗ: в ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но не нужно мешать.

!!! !!! !!!

Команда Memento

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Специалисты из Sophos рассказали, что они подробно исследовали вредоносную деятельность вымогателей из Memento Team с мая 2021 и выяснили, что тактика вымогателей менялась несколько раз, когда их предыдущие атаки были остановлены защитой конечных точек. 

После атаки с использованием возможностей WinRAR вымогатели потребовали 1 миллион долларов за восстановления файлов и пригрозили раскрыть данные, если жертва не подчинится. Кроме архивирования под видом шифрования на разные ПК атакованной компании были сброшены майнеры криптовалюты и кейлоггеры. Неисправленная узвимость позволяла вымогателям удаленно выполнять команды с привилегиями системного уровня. 

Используя легитимные бесплатные утилиты (Plink, NM, Npcap, Advanced Port Scanner, Mimikatz, secrettsdump, Process Hacker, PowerShell) хакеры-вымогатели продвигались по локальной сети компании, расширяя свое присутствие в сети с помощью RDP, иногда удаляя журналы RDP, чтобы замести следы, взламывая уязвимые учетные записи и создавая новых "админов" для расширения прав и управления. 

Отказавшись от шифрования файлов, вымогатели стали помещать файлы в незашифрованном виде в архивы, используя копию WinRAR (файл r.exe), сохраняя каждый файл в отдельном архиве с расширением .vaultz. Пароли генерировались для каждого файла во время его архивирования. Затем эти пароли шифровались.

В записке с требованием выкупа сообщалось, что жертва должна заплатить 15.95 BTC ($940 000) за полное восстановление или 0.099 BTC ($5 850) за каждый файл.

По окончании злоумышленники используют утилиту очистки данных BCWipe от Jetico, чтобы удалить любые оставленные следы, в том числе доказательства наличия заархивированных файлов после того, как они были собраны, и изменить временные метки на других. Они также очистят журналы служб терминалов, чтобы стереть свидетельства RDP-сеансов.

Более подробная информация в статье Sophos >>

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Hello Message.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: скрыт исследователями
XMR: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Sean Gallagher (Sophos)
 Andrew Ivanov (article author)
 to the authors of the articles and their assistants
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

UkrainianBug

UkrainianBug Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> UkrainianBug

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2021 г. Ориентирован на украинскоязычных пользователей, также распространяется по соседним странам: Украина, Россия, Беларусь, Словакия. 

К фейк-зашифрованным файлам добавляется расширение: .bugs

Фактически файлы только переименовываются, получая новое название по шаблону: 0x<hex>.bugs

Записки с требованием выкупа называются: 

1ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt

2ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt

Содержание записки о выкупе:

Увага! Ваші файли випадковим чином надійно зашифрувалися! Але ми можемо допомогти Вам. 

Для цього Вам необхідно звязатися з нами за адресою kcwjspen@gmail.com або emrahhalitoglu754@gmail.com 

Зробити це потрібно протягом 72 годин з моменту прочитання цього тексту, інакше ми не можемо гарантувати відновлення зашифрованих даних. 

Крім того, не намагайтеся будь-яким чином впливати на зашифровані файли, оскільки наслідки такого впливу можуть обнулити можливість відновлення файлів. 

З повагою до Вас!

Перевод записки на русский язык:

Внимание! Ваши файлы случайным образом надежно зашифровались! Но мы можем помочь Вам.

Для этого Вам необходимо связаться с нами по адресу kcwjspen@gmail.com или emrahhalitoglu754@gmail.com

Сделать это нужно в течение 72 часов с момента прочтения этого текста, иначе мы не можем гарантировать восстановление зашифрованных данных.

Кроме того, не пытайтесь каким-либо образом влиять на зашифрованные файлы, поскольку последствия такого воздействия могут обнулить возможность восстановления файлов.

С уважением к Вам!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся изменению:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

1ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt - название файла с требованием выкупа;

2ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kcwjspen@gmail.com, emrahhalitoglu754@gmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HotCoffee

HotCoffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 кофе, чтобы вернуть файлы. Оригинальное название: HotCoffeeRansomware. На файле написано: HotCoffeeRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34366
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.bzuzi
BitDefender -> Trojan.Generic.30254142
ESET-NOD32 -> A Variant Of Win64/Filecoder.DY
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/FileCoder.CK!MTB
Tencent -> Win64.Trojan.Generic.Svgu
TrendMicro -> CallTROJ_GEN.R002H0DIR21
---

© Генеалогия: ??? >> HotCoffee

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .hotcoffee

Записка с требованием выкупа называется: HOT_COFFEE_README.hta

В заголовке экрана есть слова "surprise friend": 

Содержание записки о выкупе:

GIVE ME HOT COFFEE

You have been bamboozled by the hot coffee ransomware.

Your files have been encrypted using military grade encryption and only we have the decryption key.

If you want to get your files back you need to pay a ransom of 1 large long black with an extra espresso shot.

Email EMAIL@protonmail.com for further instructions. You have 7 days to pay or else.

Перевод записки на русский язык:

ДАЙТЕ МНЕ ГОРЯЧИЙ КОФЕ

Вы одурачены программой-вымогателем для горячего кофе.

Ваши файлы были зашифрованы с использованием шифрования военного уровня, и только у нас есть ключ дешифрования.

Если вы хотите вернуть свои файлы, вам нужно заплатить выкуп в размере 1 большой длинный черный с дополнительной порцией эспрессо.

Напишите на EMAIL@protonmail.com для получения дальнейших инструкций. У вас есть 7 дней на оплату или иначе.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOT_COFFEE_README.hta - название файла с требованием выкупа; 
HotCoffeeRansomware.exe - случайное название вредоносного файла; 

HotCoffeeRansomware.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\betha\source\repos\bethcoop\HCR\x64\Release\HotCoffeeRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c054c0f03277f7f0bdad9350fa3d5c2d

SHA-1: 752071b548bb3a4c45c91174fcf5cf95ce99638a

SHA-256: 546f3a70ab029ad78105f1b7cf581038362cfbb3c7120326075552d72656ec98

Vhash: 075066651d1515651088z25xz25z

Imphash: bbb0f216d2c150cdf577e5b407a73162

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.