CheckMate

CheckMate Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на QNAP-устройствах с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $15000  в BTC, чтобы вернуть файлы. Оригинальное название: Check Mate. На файле написано: нет данных. Хакеры-распространители: CHECKMATE team. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие для QNAP >> родство выясняется.

Сайт "ID Ransomware" это идентифицирует как Checkmate. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .checkmate

В просмотренных файлах зашифрованы только первые 8192 байта. 

Записка с требованием выкупа называется: !CHECKMATE_DECRYPTION_README

Содержание записки о выкупе:

You was hacked by CHECKMATE team.

All your data has been encrypted, backups have been deleted.

Your unique ID: bc75c720f835********************

You can restore the data by paying us money.

We have encrypted 267183 office files.

We determine the amount of the ransom from the number of encrypted office files.

The cost of decryption is 15000 USD.

Payment is made to a unique bitcoin wallet.

Before paying, you will be able to make sure that we can actually decrypt your files.

For this:

1) Download and install Telegram Messenger https://telegram.org/

2) Find us https://t.me/checkmate_team

3) Send a message with your unique ID and 3 files for test decryption. Files should be no more than 15mb each.

4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.

5) After the payment is received, we will send you the key and the decryption program.

Перевод записки на русский язык:

Вас взломала команда CHECKMATE.

Все ваши данные зашифрованы, резервные копии удалены.

Ваш уникальный ID: bc75c720f835************************

Вы можете восстановить данные, заплатив нам деньги.

Мы зашифровали 267183 офисных файла.

Размер выкупа определяем по количеству зашифрованных офисных файлов.

Стоимость расшифровки 15000 долларов США.

Оплата на уникальный биткойн-кошелек.

Перед оплатой вы сможете убедиться, что мы правда можем расшифровать ваши файлы.

Для этого:

1) Скачайте и установите Telegram Messenger https://telegram.org/

2) Найди нас https://t.me/checkmate_team

3) Отправьте сообщение со своим уникальным ID и 3 файла для тест-расшифровки. Файлы должны быть не более 15мб каждый.

4) В ответ мы вышлем расшифрованные файлы и биткойн-кошелек для оплаты. Биткойн-кошелек уникален для вас, так мы узнаем, что вы заплатили.

5) После получения оплаты мы вышлем вам ключ и программу расшифровки.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .adr, .aes, .agdl, .ai, .ait, .al, .apj, .ARC, .arw, .asc, .asf, .asm, .asp, .avi, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .CATDrawing, .CATPart, .CATProduct, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce2, .cel, .cer, .cf, .cfp, .cfx, .cgm, .cgr, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .db-journal, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .dif, .dip, .djvu, .dmg, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsn, .dt, .dwg, .dxb, .dxf, .edb, .eml, .erbsql, .erf, .exf, .exr, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flv, .fnm, .fpt, .fpx, .frm, .frq, .fs, .fxg, .gdoc, .gen, .gif, .gpg, .gray, .grey, .gry, .gz, .h, .h98, .hbk, .hpp, .hwp, .ibank, .ibd, .ibz, .idx, .igs, .iiq, .incpas, .indd, .ini, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .lay, .lay6, .ldf, .lua, .m3u, .m4u, .m4v, .max, .mdb, .mdc, .mef, .mfw, .mid, .mkv, .mml, .mmw, .model, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .mts, .myd, .nd, .ndd, .nef, .nop, .nrm, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwd, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .old, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .PAQ, .pas, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prx, .ps, .ps1, .psafe3, .psd, .psdm, .pst, .ptx, .pub, .py, .qbb, .qbp, .qbw, .qfx, .ra2, .raf, .rar, .raw, .rb, .rdb, .rfn, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sch, .sd1, .sda, .sdf, .sdo, .sh, .sh3d, .skb, .skp, .sldm, .sldprt, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stp, .stw, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .taxform, .tbk, .tgz, .tif, .tiff, .tii, .tis, .tlg, .tlx, .ts, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wnc, .x3f, .xla, .xlam, .xlc, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы отчётности, архивы и пр.

Файлы, связанные с этим Ransomware:
!CHECKMATE_DECRYPTION_README - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: checkmate_team

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 16 сентября 2022:

Сообщение на форуме >>

Записка: !CHECKMATE_DECRYPTION_README

Содержание записки:

You was hacked by -=CHECKMATE=- team.

All your data has been encrypted, backups have been deleted.

Your unique ID: 9CE6061BE20146D9B5921578F3E*****

You can restore the data by paying us money.

We determine the amount of the ransom from the number of encrypted office files.

The cost of decryption is 5820 USD for all your files.

Payment is made to a unique bitcoin wallet.

Before paying, you will be able to make sure that we can actually decrypt your files.

For this:

    1) Download and install Telegram Messenger https://telegram.org/

    2) Find us https://t.me/checkmate_team

        Be careful! Telegram has a lot of fake accounts, for example, checkmate_teamm or checkmate_teams.

        Dont search manually, use the link above.

        If you dont follow this advice, you will lose money and files.

    3) Send a message with your unique ID, your e-mail and 3 files for test decryption. Files should be no more than 15mb each.

    4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.

    5) After the payment is received, we will send you the key and the decryption program.

As a bonus, we will let you know how you were hacked.

 

FAQ:

Is it possible to pay for the decryption of only part of the files?

    Yes, it is possible. For more information, please contact us.

What is Bitcoin?

read bitcoin.org

Where to buy bitcoins?

https://bitcoin.org/en/buy

https://buy.moonpay.io

or use google.com

Where is the guarantee that I will receive my files back?

The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.

How quickly will I receive the key and decryption program after payment?

As a rule, within a few hours, but very rarely there may be a delay of 1-2 days.

How does the decryption program work?

It is simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

🔓 Некоторые файлы изображений (JPG) можно восстановить с помощью альтернативного метода. Ссылка на результат >>

Added later: QNAP Recommendation
Write-up by BleepingComputer
*

 Thanks: 
 Andrew Ivanov (article author)
 DecAns
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EAF

EAF Ransomware

EncoderDecryption Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: encoderdecryption@yandex.ru.exe.
---
Обнаружения:
DrWeb -> Trojan.Siggen17.59421
BitDefender -> IL:Trojan.MSILZilla.2508
ESET-NOD32 -> A Variant Of Generik.GHUBGYD
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Agent.Generic
Microsoft -> Ransom:MSIL/Filecoder.PK!MSR
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Msil.Trojan.Delshad.Ecjv
TrendMicro -> Ransom_Filecoder.R002C0DER22
---

© Генеалогия: ✂ Chaos + другой код >> EAF

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .EAF

Фактически используется составное расширение по шаблону: [<email>][<ID>]<original_filename>.EAF

Примеры зашифрованных файлов:

[encoderdecryption@yandex.ru][8443A5AF]bootmgr.EAF

[encoderdecryption@yandex.ru][8443A5AF]6DYHaZoX.pdf.EAF

Записка с требованием выкупа называется: #FILES-ENCRYPTED.txt

Содержание записки о выкупе:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

Don't pay any money, when we didn't decrypt trial file.

You can trust us after opening the test file.

To restore the system write to this address: 

Email 1: encoderdecryption@yandex.ru

Email 2: encoderdecryption@gmail.com

Перевод записки на русский язык:

ВНИМАНИЕ!

На данный момент ваша система не защищена.

Мы можем исправить это и восстановить файлы.

Для начала отправьте файл на пробную расшифровку.

Не платите деньги, если мы не расшифровали пробный файл.

Вы можете доверять нам после открытия тестового файла.

Для восстановления системы пишите на этот адрес:

Эл. почта 1: encoderdecryption@yandex.ru

Эл. почта 2: encoderdecryption@gmail.com

Файл записки дополняется другим текстовым файлом: This Is Your Helper File.txt

Вероятно, это его содержание: 

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

You can trust us after opening the test file.

To restore the system write to this address:

Email 1: dr.help100@mailfence.com

Email 2: decrypterdr@cyberfear.com

Telegram ID: @EAF_SUPPORT_BOT

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Предназначен для ОС Windows 7, 8, 10, 11, Windows Server 2003, 2008, 2012, 2016, 2019, 2022. 

➤ Добавляется в автозагрузку системы. Внедряется в системный процесс. Блокирует диспетчер задач. Изменяет настройки Проводника. Удаляет теневые копии файлов. Отключает некоторые системные службы: контроль учетных записей, резервное копирование, восстановление системы, Windows Defender. Получает права администратора. 

➤ Используется AP Telegram для отправки сообщений. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., в том числе файлы без расширений, например, файл bootmgr. 

В таком случае, после шифрования важных системных файлов ОС Windows может не загрузиться. 

Вероятно пропускаются следующие типы файлов, чтобы избежать шифрования собственных файлов вымогателя. 

.exe

.bat

Файлы, связанные с этим Ransomware:
#FILES-ENCRYPTED.txt - название файла с требованием выкупа, также добавляется в Автозагрузку системы; 

This Is Your Helper File.txt - дополнительный текстовый файл; 

encoderdecryption@yandex.ru.pdb - файл проекта вымогателя; 
encoderdecryption@yandex.ru.exe - название вредоносного файла; 

eaf-info.exe - название дополнительного файла вымогателя; 

cmd-файл;

bat-файлы;

BackupXXXA8C4AD38.exe - некий бэкап-файл; 

8443A5AF.exe

8443A5AF.ico

encoderdecryption@yandex.ru.url - ссылка в Автозагрузке системы на исполняемый вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\1.cmd

C:\Users\Admin\AppData\Local\Temp\2.bat

C:\Users\Admin\AppData\Local\Temp\3.bat

C:\Users\Admin\AppData\Roaming\#FILES-ENCRYPTED.txt

C:\Users\Admin\AppData\Roaming\encoderdecryption@yandex.ru.exe

C:\Windows\A8C4AD38.bat

C:\Windows\8443A5AF.exe

C:\Windows\8443A5AF.ico

C:\Windows\BackupXXXA8C4AD38.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\encoderdecryption@yandex.ru.url

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#FILES-ENCRYPTED.txt

C:\Users\NBC694\source\repos\Fast\Fast\obj\Debug\encoderdecryption@yandex.ru.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encoderdecryption@yandex.ru, encoderdecryption@gmail.com

Email: dr.help100@mailfence.com, decrypterdr@cyberfear.com

Telegram: @EAF_SUPPORT_BOT

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f477c3bd9d9599a59affb41a8807f8ae

SHA-1: 1fee4f5bda8b765acbb741aeebfe74ea9b0f0f4e

SHA-256: d2c47b1c94e6beadbc222771e788e9dafe194c462760b0d16cd25cbc0a572a00

Vhash: 2160361555131011a221a1044

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

0mega

0mega Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: 0mega. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> 0mega

Сайт "ID Ransomware" идентифицирует это как 0mega. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .0mega


Записка с требованием выкупа называется: DECRYPT-FILES.txt


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


Скриншоты с сайтов вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: omegalock***.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WsIR

WsIR Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: WsIR1.1(1).exe.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35362
BitDefender -> Gen:Variant.Symmi.97294
ESET-NOD32 -> Win32/Filecoder.OLA
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Generic.wj.(kcloud)

Lionic -> Trojan.Win32.Kolovorot.lpUa

Malwarebytes -> PUP.Optional.ChinAd
Microsoft -> TrojanDownloader:Win32/Emotet!ml
Rising -> Trojan.Generic@AI.99 (RDML:lW*

Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Syhu
TrendMicro -> TROJ_FRS.0NA103EP22
---

© Генеалогия: ??? >> WsIR

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в середине мая 2022, но дата компиляции — 10 апреля 2022 г.  Ориентирован на китайскоязычных пользователей, ничего неизвестно о  распространении по всему миру. Судя по используемому значку 易 основан на китайском ПО Easy Language Green Edition. 

К зашифрованным файлам добавляется расширение: .WsIR

Файлы могут быть зашифрованы повторно и получить двойное расширение: .WsIR.WsIR

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

现北京时间：2022年5月22日8时21分21秒你是该时间段中的此勒索！

Hello,我的电脑为什么会出现这个？

您现在你的文件都已经被加密了！

为什么会被加密？因为你点开了软件，你无法解密你的文件，除非获得正确秘钥！

如何联系我？

QQ联系：3384356874

QQ邮箱联系：3384356874@qq.com

您需要支付的赎金为下！

请敬情享受吧！

RMB：176

您的Key：

PHAKDILPDFJFPGNKGDHIPPLKJBAFBALMGAFBCHPAPCCOPCNOPNINACJADPFKAGLAOODKPHEHGIBPGCIB

OABNNJCGJJJPGCKLACGLHICBNMANPODPDBMFFKDOFELHOIAEANGAOAEPADODPCFGCDLLDNELAOHFJEID

PDMKAAGNEEKMNNCDIHPMBGNPHAIAFFHPMFADGFEMPGNNOOPHGEPHGGPGDAFANAGGCCNDHGHCOPKCMOFH

PCMCIIAKAHHMIBGMDKAGPLILKPAPKJJCPFLOIPCFPKFELLAKBCGIKFAPENAKIOFHLJJAIHAMKIOMILCD

AGFANKNFFMIPJMOFMKPLELBCOJALHHKIEFPCPNMCGANBLDALGHLLHDJPJBDFGMANKNAEJJHKAPNBFFMA

JLMBJLJPNEAFACOPPIONFJGHGLBDCPHKABCFLJMLDKNDPAHOJNCEONEMPHGLOIFEFJ

↑这个是你唯一的解密秘钥，如果你丢失了，你将永远不能解密你的文件！

如果你强制关机，你将受到严厉的惩罚，您不能使用任何手段关闭本程序！

绿色的是你的重要数据！

Key： ***

Перевод записки на русский язык:

Сегодня 22 мая 2022 года, по пекинскому времени в 8:21:21 вы атакованы ransomware!

Привет, почему это появилось на моем компьютере?

Теперь ваши файлы зашифрованы!

Почему они зашифрованы? Запустив программу, вы не сможете расшифровать файлы, если не получите правильный ключ!

Как связаться со мной?

Контакт QQ: 3384356874

Контакт QQ email: 3384356874@qq.com

Вам нужно заплатить выкуп!

Наслаждайтесь!

176 юаней

Твой ключ: 

***

Это ваш единственный ключ дешифрования, если вы его потеряете, то никогда не сможете расшифровать свои файлы!

Если вы захотите завершите работу, вы будете строго наказаны, и не сможете закрыть эту программу ни в коем случае!

Зеленый код важен для ваших данных!

Ключ: ***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
WsIR1.1(1).exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\WsIR

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 3384356874@qq.com

QQ: 3384356874
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c76aecc1eb0b47fc261a80b9fc06fb75

SHA-1: 242f3cce8400a77ed62c99fe6f56e1d8b7cfa5b4

SHA-256: 3bae281a122628561deb145beffcb3b2c1b8ab51e0c96818ef7a1203738af5d4

Vhash: 085046655d555060204005200917z30e5z32z982z120a7z

Imphash: 4ffd26d581651ee9980129d50bc32409

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Jirehlov Solace
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.