Если вы не видите здесь изображений, то используйте VPN.

понедельник, 31 января 2022 г.

Anep

Anep Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English



Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем только пугает атакованного, не обещая вернуть его файлы. Оригинальное название: Anep Ransomware v1.0. На файле написано: Anep Ransomware v1.0.exe.
---
Обнаружения:
DrWeb -> Joke.Encoder.1004
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> MSIL/Hoax.FakeFilecoder.IE
Malwarebytes -> Malware.AI.983043261
Microsoft -> Ransom:MSIL/Vigorf.A
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Ransom.Ebzs
TrendMicro -> TROJ_GEN.R002H06B122
---

© Генеалогия: ??? >> Anep


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Записка с требованием выкупа написана на экране блокировки: 


Содержание записки о выкупе:
* Don't try to close the Ransomware or else
* Don't shutdown or sleep the computer
* Don't open another app
* Don't open Task Manager, File Explorer, Google Chrome,
  Antivirus, FireFox, Alarm & Clock, Calculator, Camera,
  Photo, Music.
* Don't delete anything in your computer
* Don't Disconnet you from the internet if wanna get help
* Don't DELETE this app using Task Manager! this app will 
   DESTROY your Computer, if the app detect it!

Перевод записки на русский язык:
* Не пытайтесь закрыть Ransomware или еще
* Не выключайте и не усыпляйте компьютер
* Не открывайте другое приложение
* Не открывайте диспетчер задач, проводник, Google Chrome,
   Антивирус, FireFox, Будильник и часы, Калькулятор, Камеру,
   Фото, Музыку.
* Ничего не удаляйте на своем компьютере
* Не отключайтесь от интернета, если хотите помощь
* Не удаляйте это приложение из диспетчера задач! это приложение 
    УНИЧТОЖИТ ваш компьютер, если обнаружит это!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Anep Ransomware v1.0.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\Anep Ransomware v1.0.exe
C:\Users\user\source\repos\Anep Ransomware v1.0\Anep Ransomware v1.0\obj\Debug\Anep Ransomware v1.0.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://github.com/AnepCommunity
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f910a417c08f535d10ecaa42b3e688d2
SHA-1: bb9fd807f2f96fbcdd1733064da38ea5b61c45a3
SHA-256: a8e4502ebe2996ba93cb5aaf4a082f6f2af68e82038cb26f65f3dc0641eec71e
Vhash: 215036751511408281d4011
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 26 января 2022 г.

FarAttack

FarAttack Ransomware

MedusaLocker3 Ransomware

Aliases: Bomani, BomCrypt, NewBomani, IThelp02, IThelp01, IThelp07, Marlock, Chipslock, Chuklock, Allock, Olsavelock, Itlock, Busavelock, Doctorhelp et al.

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, войти в чат на их сайте, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: FarAttack. На файле написано: bomani.exe. Это еще одна группа вымогателей с открытой антироссийской  направленностью и, по всей видимости, из Украины. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34892, Trojan.Encoder.34618
BitDefender -> Trojan.GenericKD.38755353
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.3271840011
Microsoft -> Ransom:Win32/BomCrypt.MK!MTB
Rising -> Ransom.HelpYou!1.D28C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Dxmw
TrendMicro -> Ransom_BomCrypt.R067C0DAM22
---

© Генеалогия: Balaclava > FarAttack
© Генеалогия:  ✂ GlobeImposterMedusaLocker > FarAttack (MedusaLocker3)

Сайт "ID Ransomware" это отдельно пока отдельно не идентифицирует.
Но некоторые варианты с ID в формате Base64 с конца 2022 и с начала 2023 идентифицируются как MedusaLocker3, в подгруппе MedusaLocker


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2022 г. и продолжилась в последующие месяцы. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 
Вымогатели используют различные обманные способы, например, берут элементы из других вымогательских программ, тасуют фрагменты и артефакты, как карты в колоде. В частности используют payload от MedusaLocker. То есть делают всё возможное, чтобы затруднить анализ и антивирусное обнаружение, сделать его ложным и/или бесполезным. 

Более того, известно, что в шифровании закрытого ключа используется фраза, направленная против президента России Путина В.В., а значит, распространяется этот ransomware враждебно настроенными злоумышленниками.  

К зашифрованным файлам добавляется расширение: .farattack

Записка с требованием выкупа называется: How_to_recovery.txt

FarAttack Ransomware note

FarAttack Ransomware note


Содержание записки о выкупе:
68F56EA7B89D377BC3CFC8B3E865*** (всего 1618 знаков)
Contact us for price and get decryption software. 
Note that this server is available via Tor browser only Follow the instructions to open the link:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion 
1. Type the addres "https://www.torproject.org" in your Internet browser. It opens the Tor site.  
2. Press "Download Tor", then press "Download Tor Browser Bundle", install and run it. 
3. Now you have Tor browser. In the Tor Browser open qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Start a chat and follow the further instructions. 
If you can not use the above link, use the email: 
ithelp02@decorous.cyou
ithelp02@wholeness.business
* To contact us, create a new free email account on the site: protonmail.com 
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
 

Перевод записки на русский язык:
68F56EA7B89D377BC3CFC8B3E865*** (всего 1618 знаков)
Напишите нам, чтобы узнать цену и получить программу для расшифровки.
Заметьте, что этот сервер доступен только через браузер Tor. Следуйте инструкциям, чтобы открыть ссылку:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
1. Введите адрес "https://www.torproject.org" в своем интернет-браузере. Он открывает сайт Tor.
2. Нажмите "Скачать Tor", затем нажмите "Скачать Tor Browser Bundle", установите и запустите его.
3. Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Начните чат и следуйте инструкциям.
Если вы не можете использовать ссылку выше, используйте email:
ithelp02@decorous.cyou
ithelp02@wholeness.business
* Для связи с нам создайте новый бесплатный аккаунт email на сайте: protonmail.com
ЕСЛИ ВЫ НЕ НАПИШИТЕ НАМ ЗА 72 ЧАСА, ЦЕНА БУДЕТ ВЫШЕ.


Скриншот начальной страницы сайта вымогателей


Здесь от пострадавшего требуется ввести свой email и полученный ID. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. Добавляется в Автозагрузку системы. Очищает системные журналы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_to_recovery.txt - название файла с требованием выкупа;
d9b7n19y8.dll, bomani.exe - примеры названий вредоносных файлов. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion 
Email: ithelp02@decorous.cyou, ithelp02@wholeness.business
См. ниже в обновлениях другие адреса и контакты. 


Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 1c021f42e3a138060e1d298726d1579f
SHA-1: 54e3384fb68fde6fc711491e8072781e3910156a
SHA-256: 9c73dc281f90a01ff3c8013c297a76319b77f24360de3ee1623a4356126d796c
Vhash: 07401e5az3f!z
Imphash: df7bbfc4ee909c0b4332a2345abe896a


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2022: 
Расширение: .[Bomani@Email.Com]
Записки: Read Me!.hTa
Email: lord_bomani@keemail.me, jbomani@protonmail.com, Bomani@Email.Com
Файл: bomani2.exe
Результаты анализов: VT + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34618
BitDefender -> Generic.Ransom.GlobeImposter.CFA11F96
ESET-NOD32 -> A Variant Of Win32/Filecoder.FV
Malwarebytes -> Ransom.GlobeImposter
Microsoft -> Ransom:Win32/Filecoder.RB!MSR
Rising -> Ransom.GlobeImposter!1.A538 (CLOUD)
Tencent -> Win32.Trojan.Globeimposter.Tccl
TrendMicro -> Ransom_FAKEGLOBE.SMB


Вариант от 9-10 февраля 2022:
Расширение: .marlock011
Записка: how_to_back_files.html
Примечательно, что по результатам анализа на сайтах VT и Intezer это определяется как GlobeImposter, но используется записка как у MedusaLocker
Несмотря на это, если посмотреть внимательно, то они используют тот же URL, что и в основной статье FarAttack Ransomware. Да и email-адреса отличается лишь одной цифрой. Значит это те же вымогатели, только они используют разные элементы для вымогательства. 



Email: ithelp01@decorous.cyou, ithelp01@wholeness.business
Tor-URL: qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34618
BitDefender -> Generic.Ransom.GlobeImposter.006256B0
ESET-NOD32 -> A Variant Of Win32/Filecoder.FV
Malwarebytes -> Ransom.GlobeImposter
Microsoft -> Ransom:Win32/Filecoder.RB!MSR
Symantec -> Ransom.Cryptolocker
Tencent -> Malware.Win32.Gencirc.10cf278b
TrendMicro -> Ransom_FAKEGLOBE.SMB


Вариант от 18 марта 2022:
Расширение: .chipslock
Записка: How_to_recovery.txt
Email: uncrypt2022@outlook.com 



Вариант от 29 марта 2022: 
Расширение: .[Bomani@Email.Com]
Записки: Read Me!.hTa
Email: lord_bomani@keemail.me, jbomani@protonmail.com, Bomani@Email.Com
Файл: new bomani.exe
Результаты анализов: VT + IA + TG 
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop19.64596
BitDefender -> Gen:Heur.Kelios.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO
Malwarebytes -> Malware.AI.251885294
Microsoft -> Trojan:Win32/Wacatac.B!ml
Tencent -> Win32.Trojan.Filecoder.Dzkf
TrendMicro -> TROJ_GEN.R002C0WCT22




Вариант от 30 марта 2022:
Расширение: .Chuklock
Записка: How_to_recovery.txt
Email: internationalassistance@tutanota.com  
reasonablehelp@outlook.com



Вариант от 8 декабря 2022: 
Расширение: .allock8
Записка: how_to_back_files.html
Email: ithelp02@decorous.cyou, ithelp02@wholeness.business
Файл: AL8.exe, svhost.exe
Результаты анализа: VT + TG



=== 2023 ===

Вариант от 1 февраля 2023:
Расширение: .itlock2 
Записка: HOW_TO_RECOVER_DATA.html
Email: ithelp07@decorous.cyou, ithelp07@wholeness.business




Вариант от 5 мая 2023:
Расширение: .olsavelock22
Email: ithelp10@decorous.cyou, ithelp10@wholeness.business




Вариант от 22 мая 2023:
Сообщение: twitter.com/pcrisk/status/1660873857606066176
Расширение: .itlock20
Записка: How_to_back_files.html
Файл: itlock20.exe
Результаты анализа: VT, IA 

Вариант от 10 апреля 2023: 
Расширение: .busavelock
Расширение других вариантов: .busavelock53
Записка: How_to_back_files.html
Email: ithelp11@securitymy.name, ithelp11@yousheltered.com
Файл: busavelock53.exe
Результаты анализа: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.37632
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMJ


Вариант от 20 августа или раньше: 
Расширение: .busavelock166
Записка: How_to_back_files.htm
Email: ithelp11@securitymy.name, ithelp11@yousheltered.com




Вариант от 30 ноября 2023 или раньше: 
Расширение: .doctorhelp
Записка: How_to_back_files.html
Файл: doctrohelp.exe
Результаты анализа: VT + IA
В коде также есть строки, направленные против президента Российской Федерации Путина В.В.


Вариант от 11 декабря 2023: 
Расширение: .bulock16
Записка: HOW_TO_BACK_FILES.html
Email: ithelp11@securitymy.name, ithelp11@yousheltered.com
Файл: Файл: svhost.exe
IOC: VT, IA
MD5: 06f6b11a2fc114d5e5a20c2450421229 
SHA-1: 396604d14a28eddb54da5968d4c48fcfddbf1dad 
SHA-256: f61cd0692bae4f59ff79f911a642feb2da7240edf11d0e8a127e51c488ed7c34 
Vhash: 055056651d55556163z12z7a1z23z8065z1bz17z 
Imphash: 6bcdc9755b683f9fb4a1faa80850a917
---
➤ Обнаружения: 
BitDefender -> Generic.Ransom.MedusaLocker.77EDA7FD
DrWeb -> Trojan.Encoder.38448
ESET-NOD32  -> A Variant Of Win32/Filecoder.MedusaLocker.C
Malwarebytes -> Ransom.Medusa
Microsoft -> Ransom:Win32/MedusaLocker.A!MTB
Rising -> Ransom.MedusaLocker!1.C21A (CLASSIC)
TrendMicro -> Ransom.Win32.MEDUSALOCKER.SMTH


Вариант от 20 декабря 2023: 
Доп. название: BabyLockerKZ
Расширение: .lock3
Записка: How_to_back_files.html
IOC: VT, IA, TG
MD5: 17073229079e31a3190e7a8509302b22 
SHA-1: 6ed12dade62a8e420c5b5b295ddd6c4ce83b9549 
SHA-256: f38949dac0ebf8040648e8a95b1f06ad90cfe1242cc5c227707ac47f250fa56c 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1
---
Обнаружения: 
DrWeb -> Trojan.Encoder.38406
ESET-NOD32 -> A Variant Of Win64/Filecoder.KJ
Malwarebytes -> Ransom.BabyLocker
Microsoft -> Ransom:Win64/MedusaLocker.PF!MTB
Symantec -> Ransom.MedusaLocker
TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS



Вариант от 28 декабря 2023: 
Расширение: .rapid3
Записка: How_to_back_files.html
Email: ithelp07@securitymy.name, ithelp07@yousheltered.com
IOC: VT, IA
MD5: 2858267b460596651f25d2395543ae60 
SHA-1: fc28f6d4a0e46200b5faca103723c3eade1aeac2 
SHA-256: 2c00a13c4a7e9ead5677f42120fee79ae4c93a7d13f1829ca411415407d6fa4e 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1
---
Обнаружения: 
DrWeb -> Trojan.Encoder.38566
ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A
Malwarebytes -> Ransom.BabyLocker
Microsoft -> Ransom:Win64/MedusaLocker.PF!MTB
Symantec -> Ransom.MedusaLocker
TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS



=== 2024 ===

Вариант от 5 марта 2024: относится к предыдущей версии MedusaLocker >>
Расширение: .duralock05 
Записка: HOW_TO_BACK_FILES.html
Email: assistant01@backup.capital, assistant01@decodezone.net
IOC: VT: MD5: 8648ba384a53b8509b642381a743f255

Вариант от 5 марта 2024: относится к предыдущей версии MedusaLocker >>
Расширение: .genesis15
Записка: HOW_TO_BACK_FILES.html
assistant01@backup.capital, assistant01@decodezone.net
IOC: VT: MD5: 94ccc29e051d0099f99c5d3f2bee4ec7

*** пропущенные варианты ***

Вариант от 17 мая 2024: 
Доп. название: BabyLockerKZ
Расширение: .crypto165
Записка: How_to_back_files.html
IOC: VT, IA
MD5: 833f044a80da4ea42d2e5b04962cd9be 
SHA-1: 86488c114e1b4b8ad17bb05f66546a7f622e8366 
SHA-256: ffc87a96073713d486d5e44e93aa86156122b174a619d41a4080a1de61f919a3 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696
---
Обнаружения: 
BitDefender -> Gen:Variant.Ransom.MedusaLocker.65
DrWeb -> Trojan.Encoder.38884
ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A
Malwarebytes -> Ransom.Medusa
Microsoft -> Trojan:Win64/Filecoder.ARA!MTB
Rising -> Ransom.MedusaLocker!8.11389 (TFE:5:OZL1xCpECNH)
Symantec -> Ransom.MedusaLocker
TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS


Вариант от 8 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .run10 
Записка: How_to_back_files.html
IOC: VT
MD5:  83371c800dde36a5ff9fb404d43ee777 
SHA-1: 931601f016ccb022a1fa658a073819b22db03a5c 
SHA-256: cdc509cd5807b2fadafc1628a9cd4cfc93f0120d60c1b0446327bf65de68b9d9 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 10 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .readtext28 
Записка: How_to_back_files.html
IOC: VT
MD5: c3109b92c2577184c314a31510acba09 
SHA-1: efccdcc6d019f723fdf28c761b37070fbbffaf06 
SHA-256: 8dc8d0b80a787fe1e3f1fe9988fdad89d035c5cc8ab2f108440cb0b712c1e908 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696


Вариант от 10 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .run12
Записка: How_to_back_files.html
IOC: VT
MD5: 111fbcf3713f9bbb58b3de73fe02b9af 
SHA-1: e41af4f17d73d53008fd25fbc50278336ced0d2e 
SHA-256: 76d45ea90472445fef757a385d7d6dde0982385519bc1012f0d3ce8b8c5eef27 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 13 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .rapid10
Записка: How_to_back_files.html
IOC: VT
MD5: 31e64b3d13c6d3888e48251bf0ebbab8 
SHA-1: 1aebe90537001661f4bec288e8a507b20fe6ff75 
SHA-256: 356aecd326e586b44fbd2c6c13b858f5028ae9e65a4fb2ce6fd03682d119f6f0 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: 3cfa4a7ded0a717cdb5fc277051c87e1

Вариант от 14 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .lock1
Записка: How_to_back_files.html
IOC: VT
MD5: 0c70d36e2c73e3f2a02f5ab47da8e96a 
SHA-1: 13bf6a2a0bb018c600f9fc7b207a84fcba5c7303 
SHA-256: 60809f83a871a1d3bfd2373bafb76c030efc066a8f96ea1a32ba888519d4fe14 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 20 июня 2024: 
Доп. название: BabyLockerKZ
Расширение: .run40
Записка: How_to_back_files.html
IOC: VT 
MD5: b7ccc2ae21f00c5a732284e4d735d4a5 
SHA-1: 8070c043fa79ac01960c0abad5d703399f50faae 
SHA-256: cd4ff8e557c3e7c0182e825b3f63ecf39d99fb80110634f7aaa3c9d9fc717680 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 10 июля 2024: 
Доп. название: BabyLockerKZ
Расширение: .encrypted1
Записка: How_to_back_files.html
IOC: VT 
MD5: c3ba619c3ae8b70f8bca835f438d85a6 
SHA-1: 2ec7c81b026a15312a8fc07de38846057c94802d 
SHA-256: 82fdae3624fc45f963e0a1f59d0523884e6a1f91a14c00767be30c866dd64862 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 18 июля 2024: 
Доп. название: BabyLockerKZ
Расширение: .readtext24
Записка: How_to_back_files.html
IOC: VT 
MD5: c22d9e6d04b8396793c41e96388e92ab 
SHA-1: 4c90556604df03ac74466da6cd15fd1c239418c1 
SHA-256: 270c3354b3ee2940b499e365eaba143fba9d458f434dc38e663dc0f08e96121e 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 22 июля 2024: 
Доп. название: BabyLockerKZ
Расширение: .infected
Записка: How_to_back_files.html
IOC: VT 
MD5: 022a903fe51bf05830c679503233d7b6 
SHA-1: ca42b7fa4f292fb2fbe29f30bb1c84fb8d357a3c 
SHA-256: 63eb3d2886d9cb880c9b0d54b94f3e149b3b5b6215a33a0ef63588a09dcd4499 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 24 июля 2024: 
Доп. название: BabyLockerKZ
Расширение: .lock6
Записка: How_to_back_files.html
IOC: VT 
MD5: 27e341c1f696245b81537fd9e3b93a94 
SHA-1: d18351335232ae4fdd0b693945acd00a79c2e81b 
SHA-256: b8c994e3ed7dcc9080916119ddc315533c129479f508676d7544b82b2e24745f 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 24 июля 2024: 
Расширение: .pomochit01
Записка: How_to_back_files.html
IOC: VT 
MD5: 56b6d9b9fbcb471d5447fdfd362f0a71 
SHA-1: 28c1fefc10b890cef70a3f0fc40ba121ee44c475 
SHA-256: 33a8024395c56fab4564b9baef1645e505e00b0b36bff6fad3aedb666022599a 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696

Вариант от 31 июля 2024: 
Расширение: .lockfile4
Записка: How_to_back_files.html
IOC: VT 
MD5: 5efffdc9c1096d96fd2a1963779e9096 
SHA-1: a46c868da0c359773839d16d43adce184b4f5143 
SHA-256: b74e8e5c86c3ceccaf33e73a23b98632cec341bee9531620cde40b9b0ac1c101 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696


*** пропущенные варианты ***

Вариант от 6 августа 2024: 
Расширение: .pomoch45
Записка: How_to_back_files.html
IOC: VT 
MD5: f736ee661d70a5d7aa322f017e04b1d2 
SHA-1: eee99e6b7c58ecc95c75cd52eb7ac02d812c1a54 
SHA-256: ce746a36f0e85da2b5a1c4ab72c78d048612a9e68968e734d962a071e0c65679 
Vhash: 045076655d15551565514z22z85hz2031z7fz 
Imphash: eaed56ae2dbb02ce41d8c9d9a000d696
---
Обнаружения: 
DrWeb -> Trojan.Encoder.38884
BitDefender -> Gen:Variant.Ransom.MedusaLocker.65
ESET-NOD32 -> A Variant Of Win64/Filecoder.MedusaLocker.A
Malwarebytes -> Ransom.Medusa
Microsoft -> Trojan:Win64/Filecoder.ARA!MTB
Rising -> Ransom.MedusaLocker!8.11389 (TFE:5:OZL1xCpECNH)
Symantec -> Ransom.MedusaLocker
TrendMicro -> Ransom.Win64.MEDUSALOCKER.SMYXDJS





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.



Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *