Robux

Robux Ransomware

Pay-5000-Robux Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует заплатить 5000 Robux за игровой абонемент, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: som.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.46263

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> HEUR/AGEN.1138003
BitDefender -> Gen:Heur.MSIL.Bladabindi.1
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.LR
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Eehy
TrendMicro -> TROJ_GEN.R002C0PJS21 
---

© Генеалогия: HiddenTear >> Robux

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации 

Активность этого крипто-вымогателя была в конце октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random{4}>

Записка с требованием выкупа называется: read_it.txt

Содержание записки о выкупе:

All of you're files have been encrypted and you wont be able to get them back you have 7 days to pay 5,000 Robux otherwise you're files will be gone forever.

Purchase the gamepass down below.

Link: hxxx://www.roblox.com/game-pass/24150606/Passess

As soon as you buy the gamepass you're files will be automatically unlocked.

contact Email: g0dd@criptext.com

Telegram: RETT_04

If you're files does not automatically unlock after you've sent the payment please contact me with you're roblox username.

Перевод записки на русский язык:

Все ваши файлы были зашифрованы, и вы не сможете их вернуть, у вас есть 7 дней, чтобы заплатить 5000 Robux, иначе ваши файлы исчезнут навсегда.

Купите игровой абонемент внизу.

Ссылка: hxxx://www.roblox.com/game-pass/24150606/Passess

Как только вы купите игровой пропуск, ваши файлы будут автоматически разблокированы.

контактный Email: g0dd@criptext.com

Telegram: RETT_04

Если ваши файлы не разблокируются автоматически после отправки платежа, свяжитесь со мной, указав свое имя пользователя roblox.

Cкриншот страницы сайта, куда нужно зайти

Cкриншот страницы сайта, где нужно купить Robux

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_it.txt - название файла с требованием выкупа;
som.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://www.roblox.com/game-pass/24150606/Passess

Email: g0dd@criptext.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8dae31dc9349c0466dd5716629086efc

SHA-1: 10ba027460e9a4281271d644e09ab65e93df3d1d

SHA-256: 21015517c1ced96b58b6597e50d1805610b48292cfba20c730ae69123f15d684

Vhash: 255036755515020701010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sabbath, 54bb47h

54bb47h Ransomware

Sabbath Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Вымогатели называют себя 54bb47h Team. 
---
Обнаружения:
DrWeb -> 
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: Defray777 или другие предыдущие >> Sabbath (54bb47h)

Сайт "ID Ransomware" это идентифицирует как 54bb47h. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .54bb47h

Фактически используется составное расширение по шаблону: filename.jpg.[XXXXXXXXXXXXXXXX].54bb47h

Этимология названия:

54bb47h = Sabbath (анг. "суббота")

Английские буквы заменяются на цифры: a=4, s=5, t=7

Записка с требованием выкупа называется: *** нет данных ***
В тексте есть разные ошибки, например, пропуски артиклей (a, the) и вспомогательных глаголов (are), что говорит о том, что писавший записку плохо владеет английским языком. 

Содержание записки о выкупе:

###

Dear Sir or Madam,                                                                                          

-------------------------------------------------------------------------------------------

Congratulations!                                                                                             

Id like to inform you that your company has been randomly chosen for audit and that you haven't              

passed it.                                                                                                   

All of your servers are encrypted, same as your backups. Our encryption algorithms impossible to decrypt, same as your company data and infrastructure. However, do not get nervous, as you shall restore all of your all your infrastructure and data! In order to do that, follow simple steps               

that are described bellow:                                                                                 

1. Buy decryption key.                                                                                      

2. Restore all of the company data and infrastructure.           

-------------------------------------------------------------------------------------------

The system hack wasnt done eiter by your competitors or 3rd party, it was strictly our initiative. Our main and only interest is money. 

Also, to be mentioned, we value our reputation and principles a lot, therefore any amateur attempts will be strictly suppressed and will make current situation worse. In addition, all of decryption software mentioned above is tested, as a proof of our abilities, there is a possibility of decrypting few small files for free, for your understanding.                                  

-------------------------------------------------------------------------------------------

Data leakage.                                                                                                

As you probably understood, we have stolen big volume of data from yur network. Mainly, we stole data using our smartfilters from all of your servers- full dump of your network.     

We may discuss the volume of stolen data.                                                         

To sum up, we have completely destroyed your system and infrastructure. We would like to suggest you to think twice, and think about the problems associated with GDPR.                                       

-------------------------------------------------------------------------------------------

TO GET YOUR INFO VISIT US:                                                                           

54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion

Перевод записки на русский язык:

###

Уважаемый Господин или Госпожа,

-------------------------------------------------------------------------------------------

Поздравляю!

Хочу сообщить вам, что ваша компания была выбрана для аудита случайным образом, а вы не прошли это.

Все ваши серверы зашифрованы, как и ваши резервные копии. Наши алгоритмы шифрования невозможно расшифровать так же, как данные и инфраструктуру вашей компании. Однако не нервничай, т.к. вы восстановите всю вашу инфраструктуру и данные! Для этого выполните простые шаги. которые описаны ниже:

1. Купите ключ дешифрования.

2. Восстановите все данные и инфраструктуру компании.

-------------------------------------------------- -----------------------------------------

Системный взлом был сделан не вашими конкурентами или третьей стороной, это была исключительно наша инициатива. Наш главный и единственный интерес - деньги.

Также следует отметить, что мы очень дорожим своей репутацией и принципами, поэтому любые попытки любителя будут строго пресекаться и только ухудшат текущую ситуацию. Кроме того, все программное обеспечение для дешифрования, упомянутое выше, протестировано, в качестве доказательства наших возможностей, для вашего понимания есть возможность дешифровать несколько небольших файлов бесплатно.

-------------------------------------------------- -----------------------------------------

Утечка данных.

Как вы, наверное, догадались, мы украли большой объем данных из вашей сети. В основном мы крали данные со всех ваших серверов с помощью наших смарт-фильтров - полный дамп вашей сети.

Мы можем обсудить объем украденных данных.

Подводя итог, мы полностью разрушили вашу систему и инфраструктуру. Предлагаем вам дважды подумать о проблемах, связанных с GDPR.

-------------------------------------------------- -----------------------------------------

ДЛЯ ИНФОРМАЦИИ ПОСЕТИТЕ НАС:

54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion

Скриншоты с сайта вымогателей:

Содержание текста на странице: 

Why i'm here?

You see this page because we found vulnerability in your system. Because of vulnerability it was possible to modify your data in a way, which temporary disallow further usage of it. Please upload 1 encrypted file that doesn't contain sensitive information and it's size is less then 3 MB using the form below and start recovering your data. If the file was successfully recognized by our system, you will be successfully authorized in the portal and you will receive further instructions. 

Files intergity

During process of encryption software controls the integrity of your files so you can be sure that we can restore your files in previous good condition.

AV companies

There is no and will not be any free solution to recover files. We use military grade algorithms and there is no solution to crack them. Work with us and get your files back.

Conditions

We understand that the customer cannot always pay the fee. We have discounts and price can be negotiated.

BLOG WITH AUCTION

This blog gather information about companies that did not want to pay for our bug hunting work and is indifferent to the personal data of its employees, customers and partners. They just try to keep in secret info leakage. Part of information is for sale part will be free for downloads.

    PREV

    NEXT

Page 1 of 0. Elements 0/0.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 54bb47h5qu4k7l4d7v5ix3i6ak6elysn3net4by4ihmvrhu7cvbskoqd.onion 

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость от 16 ноября 2021: 

Группа вымогатели зарегистрировала аккаунт в Twitter создала свой блог для публикации утечек. 

hxxx://54bb47h.blog/

hxxx://twitter.com/54bb47h_blog

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie, PeterM
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Archuskha

Archuskha Ransomware

BronyaHaxxor Ransomware

Ransomware TESTER

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп 0.0040 BTC, чтобы вернуть файлы. Оригинальное название: Ransomware TESTER.exe. На файле написано: Ransomware TESTER, Archuskha_Ransomware, Haxxor Star Shot System. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34488

ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/Filecoder.AMM
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Cryptor.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCryptor.MAK!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_FileCryptor.R002C0DJO21
---

© Генеалогия: ✂ HiddenTear >> Archuskha (BronyaHaxxor)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .BronyaHaxxor

Записка с требованием выкупа написана на экране блокировки: 

Содержание текста на экране:

Haxxor NULL-404 // Bronya Programme

Your Files has been encrypted

Hello mate, Your files are encrypted using AES

If you think you can decrypt your files with yourself, so do it

If you can

Pay with 0,0040 BTC

*ALERT*

We do not recommend closing this application

NOT YET PAYMENT

Перевод текста на русский язык:

Haxxor NULL-404 // Программа Броня

Твои файлы зашифрованы

Привет, дружище, Твои файлы зашифрованы с AES

Если ты думаешь, что можещь расшифровать свои файлы сам, сделай это

Если ты можешь

Оплати 0,0040 BTC

*ТРЕВОГА*

Мы не рекомендуем закрывать это приложение

ОПЛАТА НЕ ПРОЙДЕТ

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Позиционируется как тест-вымогатель. Что именно разработчик хотел этим показать, не совсем понятно. Вероятно, это программа для себя. 

После некоторых изменений вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 

Ransomware TESTER.pdb - название файла проекта; 

Ransomware TESTER.exe - название исполняемого файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\mikoj\OneDrive\Documents\Visual Studio Project\Archuskha_Ransomware_tester\Archuskha_Ransomware_tester\obj\Debug\Ransomware TESTER.pdb

C:\Users\Admin\AppData\Local\Temp\Ransomware TESTER.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 73e648b2a4b5694be7fe6a0384e911c4

SHA-1: 48d275d6e9c7578f283f76ea0355bf0c25313004

SHA-256: bfe30493e06806cdb3081f03dc17f09b3e14434a765389f92eeace69cb16a77c

Vhash: 236036757511d08510223015

Imphash:  f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Moses Staff

Moses Staff Ransomware

CDEL Ransomware

Anti-Israel Ransomware

(шифровальщик-не-вымогатель, деструктор) 
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: cdel.exe. Исполняемый файл написан на Python и скомпилирован с помощью PyInstaller. Атакующая группа: Moses Staff. Специалисты считают, что отказ от выкупа и наглое поведение представителей Moses Staff в социальных сетях и СМИ является политически мотивированным, а израильские организации атакуются с целью причинения ущерба. Израильская сторона обвиняет Иран в этих атаках. 
---
Обнаружения: 
DrWeb -> Trojan.Siggen15.44970
BitDefender -> Trojan.MosesStaff.A
ESET-NOD32 -> WinGo/Agent.EW
Kaspersky -> HackTool.Win32.Agent.ajbp
Malwarebytes -> Malware.AI.2596357597
Microsoft -> Trojan:Win32/Vigorf.A
Rising -> Trojan.Generic@ML.92 (RDMK:zmN*
Symantec -> Trojan Horse 
TrendMicro -> TROJ_FRS.VSNTKH21
---

© Генеалогия: ??? >> Moses Staff

Сайт "ID Ransomware" идентифицирует это как Moses Staff. 

Информация для идентификации

Активность этого крипто-вымогателя началась в октябре и продолжилась в ноябре 2021 г. Ориентирован на израильские организации. Тексты написаны на английском. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Первые исследователи вредоносной программы, специалисты Check Point не стали относить хакерскую группу к какой-либо конкретной стране, не имея доказательств, но указали, что некоторые образцы вредоносного ПО группы были отправлены на сайт VirusTotal с IP-адресов, находящихся в Палестине, за несколько месяцев до первой атаки Moses Staff. На момент публикации и обновления статьи Moses Staff перечислили 16 жертв на своем сайте утечки. 

Записка с требованием выкупа не используется, вместо нее публикуются громкие заявления. Пример такого заявления на следующем скриншоте.

Содержание текста (с оригинальными ошибками): 

Moses Staff

And those who didn't tolerate the Moses legitimacy called his staff magic and spell and they tyrannized Moses' disciples abundantly.

Now. the same ones violate justice and opress our nation excessively, thus makes us more determined to fight.

The soldiers whise blood is shed due to wrong policies and fruitless wars, the mothers mourning for their children, and all the cruelty and injustice done to the people of this nation; we won't forget! We won't forgive! We'll keep fighting! To uncover your hidden crimes.

You are close to the end.

Перевод текста на русски: 

Moses Staff

И те, кто не мирился с законностью Моисея, называли его посох магией и колдовством и притесняли учеников Моисея.

Теперь те же самые нарушают справедливость и жестоко угнетают нашу нацию, тем самым заставляя нас бороться более решительно.

Солдат, кровь которых пролита из-за неправильной политики и бесплодных войн, матерей, оплакивающие своих детей, и всю жестокость и несправедливость, причиненную людям этой страны; мы не забудем! Мы не простим! Мы будем бороться! Чтобы раскрыть ваши тайные преступления. 

Вам скоро конец.

---

Содержание другого сообщения на сайте Moses Staff: 

Our cyber power against their oppression

Our cyber attacks will continue to expose your crimes

Work with us

Do you want to take part in exposing the crimes of the Zionists in occupied Palestine?

Contact us

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Группа Moses Staff взламывает сети жертв, используя старые уязвимости серверов Microsoft Exchange, которые остаются без исправлений. После успешного проникновения в систему хакерская группа перемещается по сети в боковом направлении с помощью PsExec, WMIC и Powershell, специальные бэкдоры не используются. Затем перед шифрованием данных хакеры крадут конфиденциальную информацию из сети жертвы.

Цепочка заражения

Для шифрования хакеры используют вредоносную программу PyDCrypt, которая развертывает библиотеку DiskCryptor с открытым исходным кодом для шифрования томов и блокировки компьютеров жертв с помощью загрузчика, который не позволяет машинам загружаться без правильного пароля. Даже если указан правильный пароль, данные все равно будут зашифрованы после загрузки системы. 

Check Point установили, что пароль загрузки и ключ шифрования могут быть восстановлены при определенных обстоятельствах, поскольку схема шифрования использует генерацию симметричного ключа при шифровании устройств. Иначе говоря, PyDCrypt генерирует уникальные ключи для каждого имени хоста на основе хэша MD5 и созданной соли. Если копия PyDCrypt, используемая в атаке, извлекается и отменяется, функция хеширования может быть получена.

Подробнее о шифровании читайте в статье Check Point >>

MosesStaff открыто заявляет, что их мотивация атаковать израильские компании состоит в том, чтобы нанести ущерб путем утечки украденных конфиденциальных данных и шифрования сетей жертвы без требования выкупа. Говоря языком нападающих, их цель - «бороться с сопротивлением и разоблачать преступления сионистов на оккупированных территориях».

Хакеры также управляют Telegram-каналом и имеют учетную запись в Twitter, где объявляют о новых жертвах, которых они добавляют на свой сайт утечек.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
cdel.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: t.me/moses_staff

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a06c125e6da566be67aacf6c4e44005e

SHA-1: 131c688dcc9ac8f60407aae6810b32c8c66ac74f

SHA-256: 2aae636691b7d258528d19411d111bc48f36616438e8a8d0b223ecc8b33dd3db

Vhash: 0260e7655d54547474747az25!z

Imphash: 91802a615b3a5c4bcc05bc5f66a5b219

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Check Point, BleepingComputer
 Andrew Ivanov (article author)
 Michael Gillespie 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.