7even Security

7even Security Ransomware

Seven Security Ransomware

(zip-вымогатель) (первоисточник)
Translation into English

Этот вымогатель захватывает данные пользователей на сетевых устройствах NAS с помощью технологии zip-архивирования и помещает их в архив с паролем, а затем требует выкуп в 0.01-0.05 BTC, чтобы вернуть файлы. У пострадашего есть только 7 дней на оплату выкупа. Оригинальное название: 7even Security, указано в записке. Группа вымогателей: Team Seven Security. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие zip-вымогатели и вымогатели для сетевых устройств NAS >> 7even Security

Сайт "ID Ransomware" идентифицирует это как 7even Security. 

Информация для идентификации

Активность этого zip-вымогателя была замечена в середине февраля - начале марта 2022 г., но вымогатели получали выкуп на свой BTC-кошелек уже в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть сообщения о пострадавших из Франции, Гонконга и других стран. 

Записка с требованием выкупа называется: Please Read Me !!!.txt

Содержание записки о выкупе:

Hello.

This is 7even Security.

What happened?

- Your Network was not secure.

- Your Network-Attached Storage was compromised.

What does this mean? Where are my files?

- All your data has been encrypted and hidden on a special volume.

- All your important documents have been downloaded.

What can I do to recover my data?

- If you want to recover your data, you have to send 0.04 Bitcoin to this wallet address:

bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

- You have until the 12th of March 2022 to send the payment. 

After this date your files will be almost impossible to recover.

What should I do after I send the payment?

- Your ID is: 69.125.***.***

- Please email us your ID and payment confirmation to:

team.seven@zohomail.eu

- After we confirm your payment you will receive detailed instructions on how to decrypt all your data. It does not require any technical skills and it is done fast.

Can I still use my nas?

- Do not delete any files you find on your nas.

- Do not try to recover your data using any software as it will result in permanent data loss.

- Do not modify any volumes or storage pools on your nas.

- Do not write large amounts of data to your disk.

Why have my files been downloaded?

- We reserve the right to leak or sell all your important documents, if no payment is made.

Where can I buy and send bitcoin?

- You can easily buy and send bitcoin from:

https://paxful.com/buy-bitcoin

https://localbitcoins.com/buy_bitcoins

https://www.binance.com/en/buy-Bitcoin

You can think of this as a failed security audit.

We are professionals. This is a one time deal. We will show you proof if you need it.

We will restore your data immediately after the payment.

We will even send you tips on how to strengthen your network security, to prevent any future attacks.

Thank you.

Перевод записки на русский язык:

Привет.

Это 7even Security.

Что случилось?

- Ваша сеть не была защищена.

- Ваше сетевое хранилище скомпрометировано.

Что это значит? Где мои файлы?

- Все ваши данные зашифрованы и спрятаны на специальном томе.

- Все важные документы загружены.

Что я могу сделать, чтобы вернуть мои данные?

- Если вы хотите вернуть свои данные, вы должны отправить 0.04 биткойна на этот адрес кошелька:

bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

- У вас есть время до 12 марта 2022 года, чтобы отправить платеж.

После этой даты ваши файлы будет практически невозможно восстановить.

Что мне делать после отправки платежа?

- Ваш ID: 69.125.***.***

- Пожалуйста, отправьте нам свой ID и подтверждение оплаты на адрес:

team.seven@zohomail.eu

- После того, как мы подтвердим ваш платеж, вы получите подробные инструкции как расшифровать все ваши данные. Это не требует каких-либо технических навыков, и это делается быстро.

Могу ли я по-прежнему пользоваться своим NAS?

- Не удаляйте никакие файлы, найденные на вашем NAS.

- Не пытайтесь восстановить данные с помощью каких-то программ, т.к. это приведет к безвозвратной потере данных.

- Не изменяйте тома или пулы хранения на вашем NAS.

- Не записывайте на диск большие объемы данных.

Почему мои файлы были загружены?

- Мы оставляем за собой право выдать или продать все ваши важные документы, если оплата не будет произведена.

Где я могу купить и отправить биткойн?

- Вы можете легко покупать и отправлять биткойны из:

https://paxful.com/buy-биткойн

https://localbitcoins.com/buy_bitcoins

https://www.binance.com/en/buy-Биткойн

Вы можете думать об этом как о неудачном аудите безопасности.

Мы профессионалы. Это разовая сделка. Мы покажем вам доказательства, если вам это нужно.

Мы восстановим ваши данные сразу после оплаты.

Мы даже вышлем вам советы о том, как усилить безопасность вашей сети, чтобы предотвратить любые атаки в будущем.

Спасибо.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию/архивации:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Please Read Me !!!.txt - название файла с требованием выкупа;
<random> - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: team.seven@zohomail.eu
BTC: bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Unlocker

Unlocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Unlocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине февраля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock

Фактически используется составное расширение по шаблону: .[<email>].lock

В данном случае полное расширение: .[unlocker@onionmail.org].lock

Записка с требованием выкупа называется: ALL_YOUR_FILES_ARE_ENCRYPTED.TXT

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: unlocker@onionmail.org and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

Write to email: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

***

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы сможете расшифровать его сами! Единственный способ вернуть файлы — приобрести уникальный закрытый ключ.

Только мы можем дать вам этот ключ и только мы можем вернуть ваши файлы.

Чтобы убедиться, что у нас есть расшифровщик и он работает, вы можете отправить письмо на адрес: unlocker@onionmail.org и расшифровать один файл бесплатно.

Но этот файл не должен быть ценным!

Вы правда хотите восстановить файлы?

Пишите на почту: unlocker@onionmail.org

Резервный адрес email: unlockersuport@msgsafe.io

Telegram: @unlockersupport

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может навсегда испортить данных.

* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ALL_YOUR_FILES_ARE_ENCRYPTED.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @unlockersuport

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io
BTC: -  

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 марта 2022:

Сообщение >>

Расширение: .lock

Расширение (новый шаблон): .[<email>].[ID].lock
Расширение (пример): .[unlocker@onionmail.org].[5MKlY].lock
Записка: README_WARNING.TXT

Email: unlocker@onionmail.org, unlockersuport@msgsafe.io

Telegram: @unlockersuport

➤ Содержание записки: 

Hey!

Can I recover my files? Sure. We guarantee that you can recover all your files easily and safely! But you have to be fast!. How quickly you pay, how quickly all your data will be returned, as before encryption.

To contact write to the mail: unlocker@onionmail.org

Reserved email: unlockersuport@msgsafe.io

Telegram: @unlockersuport

ATTENTION !!!

Do not rename encrypted files.

Do not try to decrypt your data using third party software - this may result in permanent data loss.

We are always ready to cooperate and find the best way to solve your problem.

The sooner you write, the better the conditions will be for you.

Our company values ​​its reputation. We give all guarantees of decryption of your files.

Your personal ID: *****

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Zeon

Zeon Ransomware

Zeon Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует посетить сайт вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте. Оригинальное название: Zeon, Zeon strain, Zeon Ransomware. На файле написано: FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe. Написан на языке Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.54
BitDefender -> Trojan.GenericKD.38938300
ESET-NOD32 -> Python/Filecoder.JW
Kaspersky -> Trojan-Ransom.Win32.Agent.baom
Malwarebytes -> Ransom.Zeon
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> while expected
Symantec -> Trojan Horse
Tencent -> while expected
TrendMicro -> Ransom.Win32.ZEON.THBAOBB
---

© Генеалогия: ??? >> Zeon

Сайт "ID Ransomware" идентифицирует это как Zeon. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2022 г. Одно из ранних сообщений появилась в конце января. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .zeon

Записка с требованием выкупа называется: re_ad_me.txt

Содержание записки о выкупе:

All of your files are currently encrypted by ZEON strain. 

As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly. 

If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value.

To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge.

You can contact our team directly for further instructions through our website :

TOR VERSION :

(you should download and install TOR browser first https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

YOU SHOULD BE AWARE!

Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible.

---BEGIN ID---

FEVcmTbQIx9X2VMynNFOZ3c***

---END ID---

Перевод записки на русский язык:

Все ваши файлы теперь зашифрованы ZEON штаммом.

Как вы знаете (если нет - просто "погуглите"), все данные, которые были зашифрованы нашей программой, не могут быть восстановлены никакими средствами без прямого обращения к нашей команде.

Если вы попытаетесь использовать какие-либо дополнительные программы для восстановления - файлы могут быть повреждены, поэтому, если вы хотите попробовать - попробуйте его на данных с наименьшим значением.

Чтобы убедиться, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать 2 случайных файла.

Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:

ТОР ВЕРСИЯ:

(сначала надо скачать и установить браузер TOR https://torproject.org)

hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

ВЫ ДОЛЖНЫ ЗНАТЬ!

На всякий случай, если вы попытаетесь нас игнорировать. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите. Поэтому для обеих сторон будет лучше, если вы напишите нам поскорее.

***

Скриншоты с сайта вымогателей. На момент написания статьи в чате никому "поддержка" не оказывалась. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
re_ad_me.txt - название файла с требованием выкупа;
FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe - название вредоносного файла; 

Файлы pyd: _Salsa20.pyd, _ec_ws.pyd, _raw_eksblowfish.pyd и другие. 

Файлы dll: python39.dll, libcrypto-1_1.dll, VCRUNTIME140.dll и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 33f612338b6b5e6b4fe8cbb17208795c

SHA-1: 66535700bbce7f90d2add7c504bc0e0523d4d71d

SHA-256: c860bf644bd5e3d6f4cae67848c4fc769184ae652fcb41cac670042b185d217a

Vhash: 076056655d1555604013z3005dmz11fz

Imphash: bdaa4f11fa75ae7944b223ba584c1f57

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MonaLisa

MonaLisa Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымоагтелей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: 3.exe, xy72vx8rk.dll, 4.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34934, Trojan.Encoder.34961
BitDefender -> Gen:Trojan.ExplorerHijack.JuW@ay6pbsii, Gen:Trojan.ExplorerHijack.JuW@a0crHtei
ESET-NOD32 -> Win32/Filecoder.OKA, A Variant Of Win32/Filecoder.OKA
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.2890321610
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!1.DBBD (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Akfo, Win32.Trojan.Filecoder.Wskk
TrendMicro -> Ransom_Paradise.R002C0DBA22, Ransom_Paradise.R002C0DBB22
---

© Генеалогия: ??? >> MonaLisa

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 

.barrel

.nekochan

Фактически используется составное расширение по шаблону: 

.[<email>].extension

Известные варианты на момент напсиания статьи: 

.[m0na.l1sa@onionmail.org].barrel

.[m0na.l1sa@onionmail.org].nekochan

Записки с требованием выкупа называются: 
info.txt

info.hta

Содержание записки info.txt:

You are infected! This means your files are locked!

You want to recover them?

Contact us at m0na.l1sa@onionmail.org

Перевод записки на русский язык:

Вы заражены! Это значает ваши файлы блокированы!

Вы хотите вернуть их?

Напишите нам на m0na.l1sa@onionmail.org

Содержание записки info.hta:

YOUR FILES ARE ENCRYPTED

PLEASE READ THIS MESSAGE CAREFULLY

Don't worry, you can return all your files!

If you want to restore them, write to the mail:m0na.l1sa@onionmail.org YOUR ID 0AA41***

You have to specify your ID in the subject of your message.

ATTENTION!

We recommend you contact us directly to avoid overpaying agents

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

ВНИМАТЕЛЬНО ПРОЧТИТЕ ЭТО СООБЩЕНИЕ

Не волнуйтесь, вы можете вернуть все свои файлы!

Если вы хотите их восстановить, пишите на почту: m0na.l1sa@onionmail.org ВАШ ID 0AA41***

В теме сообщения нужно указать свой ID.

ВНИМАНИЕ!

Мы рекомендуем вам прямо написать нам, чтобы не платить агентам

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц повысит цену (они добавляют свою цену к нашей) или вы станете жертвой мошенников.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует библиотеку Crypto++. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

info.txt - название файла с требованием выкупа; 

info.hta - название файла с требованием выкупа; 

3.exe, xy72vx8rk.dll (4.exe) - названиz вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0na.l1sa@onionmail.org 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6bc637edc08c18457647c02d9957fa18

SHA-1: d73c673ddcb0e6bbc1412dde3cad782abf516572

SHA-256: ab668490afd212d8a5847a57c77e2c4dac6f8dd0c2d0b9c08ae833d7fa61988e

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

--- 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7b98b5055e8fbb6b3710b79889943971

SHA-1: 820f17fb630ee3ff68857475d73086e40f200c5b

SHA-256: 4c25916319363e88f60ad6d7b6a66f5a737cb9ce8a2045f656e9dbc272115bea

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 34ee49b8b1e5ac3c1c5e748ebf23a8ed

SHA-1: 16fda9ca20e33e351060976d84e25acedf6b6c02

SHA-256: 85c3810ff6df3d220dd6733886f1e2c2a5fbe7517978f3a1d9a50415eaf24b47

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.