Play

Play Ransomware

Play Hand-Ransomware

Play Extortion Group

Variants: FinDom 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на серверах компаний, организаций и частных лиц с помощью комбинации алгоритмов AES + RSA-4096, а затем оставляет текстовый файл с email-адресом, видимо для того, чтобы пострадавшие  написали на него и узнали, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: Play Ransomware. На файле написано: нет данных. 
---
Обнаружения (образец от 8 августа 2022):
DrWeb -> Trojan.Encoder.35793
BitDefender -> Gen:Variant.Ransom.PLAY.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.PLAY.B
Kaspersky -> Trojan-Ransom.Win32.Play.i
Malwarebytes -> Ransom.Play
Microsoft -> Ransom:Win32/Play.E
Rising -> Ransom.Agent!8.6B7 (TFE:5:pvkKOIjHEBK)
Tencent -> Malware.Win32.Gencirc.10bdb306
TrendMicro -> Ransom.Win32.PLAYDE.YXCHJT
---

© Генеалогия: родство выясняется >> Play

Сайт "ID Ransomware" идентифицирует это как Play. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были из Германии. Далее были пострадавшие компании в Бельгии и других странах Европы, а также в США. 

К зашифрованным файлам добавляется расширение: .play
Большие файлы шифруются дважды. 

Записка с требованием выкупа не использовалась, вместо нее на пострадавшем компьютере оставлялся readme-файл с email-адресом вымогателей. 

Содержание текстового файла:
gyeceeidia7y@gmx.com


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Перед тем как внедрить Play Ransomware в сети жертв, партнеры Play крадут конфиденциальные документы из взломанных систем и используют их, чтобы заставить жертв заплатить выкуп под угрозой публикации украденных данных на сайте банды в Даркнете. Для переговоров с пострадавшими используется только email вымогателей. 

➤ Play Ransomware перед шифрованием разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый другой фрагмент. 

Если пострадавшие компании или организации не платят выкуп в течении установленного срока выплаты (например, 1 неделя), то украденные персональные данные (включая личную информацию о гражданах, удостоверения личности, номера паспортов, финансовые документы и мн. др.) могут быть проданы или опубликованы на сайтах Даркнета. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы. 

Также шифруются резервные файлы в синхронизированном облаке. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gyeceeidia7y@gmx.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 223eff1610b432a1f1aa06c60bd7b9a6 

SHA-1: 14177730443c65aefeeda3162b324fdedf9cf9e0 

SHA-256: 006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55 

Vhash: 015046655d156az4-z 

Imphash: bfaffd974eb97f13ae5b4b98aa20c81e

Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант октября 2024:

IOC: VT: MD5: 425d05660176c0b9f1db63948af825fe

Обнаружения: 

DrWeb -> Trojan.Encoder.36095

BitDefender -> Gen:Variant.Ransom.PLAY.5

ESET-NOD32 -> A Variant Of Win32/Filecoder.PLAY.B

Kaspersky -> HEUR:Trojan-Ransom.Win32.Play.gen

Microsoft -> Ransom:Win32/Play.D

Rising -> Ransom.Play!8.166FA (TFE:5:4FGIOCKkokJ)

Symantec -> Ransom.PlayCrypt!g2

TrendMicro -> Ransom.Win32.PLAYDE.SMYPCKE

Вариант от 19 ноября 2022:

Сообщение на форуме >>

Email: ***@gmx.de

Tor-URLs:

mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion

k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion

Информация от 6 декабря 2022:

Хакерско-вымогательская группа атаковала и взломала серверы технологического центра Digipolis в Антверпене, отвечающего за различные городские службы и установила срок в 1 неделю для выплаты выкупа. Кажется специалисты Digipolis смогли восстановить работу центра без уплаты выкупа. 

Скриншот с сайта Play Ransomware group, свидетельствует о масштабах атак этой группы. Пострадавшие предпочитают замалчивать об инцидентах. 

Вариант от 22 декабря 2022:

Предполагаемое родство. 

Сообщение на форуме >>

Расширение: .FinDom

Записка: OPEN.txt
Email: findomswitch@fastmail.pw
Содержание записки: только email-адрес вымогателей. 

=== 2023 ===

Вариант января 2023: 

IOC: VT: MD5: 95a6135b58973e6a04c4e22cf90bc644

Обнаружения: 

DrWeb -> Trojan.Encoder.37278

BitDefender -> Gen:Variant.Ransom.Play.10

ESET-NOD32 -> A Variant Of Win32/Filecoder.PLAY.B

Microsoft -> Ransom:Win32/Play.PAA!MTB

Rising -> Ransom.Play!8.166FA (TFE:5:3RJVXoeHdQT)

Symantec -> Ransom.PlayCrypt!g2

TrendMicro -> Ransom.Win32.PLAYDE.YADA5T

Информация от 9 февраля 2023:

Хакерско-вымогательская группа 23 января 2023 атаковала и взломала серверы производителя сетевого оборудования A10 Networks (штат Калифорния, США). Группа вымогателей Play добавила A10 Networks на свой сайт, угрожая утечкой файлов, которые она украла во время вторжения. 

Статья об этом >>

Информация от 19 апреля 2023:

Хакерско-вымогательская группа теперь использует инструменты Grixba и VSS Copying Tool для более продвинутых атак. 

Инструмент Grixba, предназначенный для перечисления пользователей и компьютеров в домене, используется злоумышленниками для режима сетевого сканирования и кражи информации, в котором используются WMI, WinRM, удалённый реестр и удалённые службы, а также для определения ПО, работающего на сетевых устройствах. Grixba проверяет наличие антивирусных программ и программ безопасности, наборов EDR, инструментов резервного копирования и инструментов удаленного администрирования, а также офисных приложений и DirectX, что позволяет определить тип сканируемого компьютера. Все собранные данные сохраняет в файлах CSV, сжимает их в ZIP-архив, а затем эксфильтрирует на C2-сервер злоумышленников. Эта информация помогает им планировать следующие шаги атаки.

Инструмент VSS Copying Tool позволяет злоумышленникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной библиотеки AlphaVSS.NET и похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.

Статья об этом >>

Декабрь 2023

ФБР сообщило, что в период с июня 2022 года по октябрь 2023 года банда, стоящая за Play Ransomware, взломала около 300 организаций по всему миру, некоторые из которых являются объектами критической инфраструктуры.

Статья об этом >>

Вариант мая 2024:

IOC: VT: MD5: f088b0524afae3a92f571c4cc390d064

Обнаружения: 

DrWeb -> Trojan.Encoder.38718

BitDefender -> Gen:Variant.Ransom.Play.34

ESET-NOD32 -> A Variant Of Win32/Filecoder.PLAY.B

Microsoft -> Ransom:Win32/Play.ZA!MTB

Rising -> Ransom.PLAY!8.1993D (TFE:5:e7Sxs7K4uPP)

Symantec -> Ransom.PlayCrypt!g2

TrendMicro -> Ransom.Win32.PLAYDE.YXEFMT

Вариант февраля 2025: 

IOC: VT: MD5: 75367b27129a302e5ef5930a2c9699c0

Обнаружения: 

DrWeb -> Trojan.Encoder.41660

BitDefender -> Trojan.GenericKD.75870848

ESET-NOD32 -> A Variant Of Win32/Filecoder.PLAY.C

Kaspersky -> HEUR:Trojan-Ransom.Win32.Play.gen

Microsoft -> Ransom:Win32/Play.D

Rising -> Ransom.Play!8.166FA (TFE:5:4FGIOCKkokJ)

Symantec -> Trojan.Whispergate

TrendMicro -> Ransom_Play.R002C0DEK25

Июнь 2025

ФБР сообщило, что банда, стоящая за Play Ransomware, взломала 900 жертв, включая критически важные организации. В руководстве, выпущенном ФБР, CISA и Австралийским центром кибербезопасности, службам безопасности рекомендуется уделять первоочередное внимание поддержанию своих систем, ПО и прошивки в актуальном состоянии, чтобы снизить вероятность использования неисправленных уязвимостей при атаках с использованием Play Ransomware.

Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Crypt130

Crypt130 Ransomware

Crypt130 Scareware

(фейк-шифровальщик, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью комбинации алгоритмов ROT13 и AES Rijindael, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Crypt130. На файле написано: c.exe. 
---
Обнаружения:
DrWeb -> Trojan.Renamer.121
BitDefender -> Gen:Trojan.Mardom.PN.10
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARZ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Malware.AI.3989420076
Microsoft -> Trojan:Win32/Mardom!mclg
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be5681
TrendMicro -> Ransom_Crypren.R002C0PCV23
---

© Генеалогия: родство выясняется >> Crypt130

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К фейк-зашифрованным файлам добавляется расширение: _encrypted

Примеры: 

.docx_encrypted

.jpeg_encrypted

.jpg_encrypted

.lnk_encrypted

.pdf_encrypted

.png_encrypted

.rar_encrypted

.rtf_encrypted

.txt_encrypted

.url_encrypted

.zip_encrypted

На самом деле, файлы не шифруются. 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Your files have been ecrypted with ransomware 256 bits encrypt secure sssl aiorithm rot 13..:

your personil file have downloaded into my secure server buletprof. every important .borwser. cookes. games...

i can restored you file open if you payed.

i encrypted files you can not open due ssl encrypt rot 13 aes rijindael algorithm miliary file,

how to restored my files back??

and i will erase form my server jpg txt all externsion file secure shred wipe full double method.

email infommatioen cotact dfercvypt files rot 13 back nromal:

my mail inqueres: crypt130@sharklasers.com

cherk btc tamseaction: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

serach the btc into mail aders dectpyion software will sent on youmail perosnal.

if you can turn pc of it will come back u fuck bit he no easpcae

reemember your file encrypnt by me.....

contaoct to me th e decytpon price decrypt file price amount for btc wallet encrypt transact on

i secrypt cheap for youu other is espensive do not pay otheri!!....

contact us. fast?

negotiate price: crypt130@sharklasers.com

If yuo not deside to pay ranson faiel wl be shared deep web dark web hacker

do you knouw tor?? is dep web aces avoid censoreship by all

hacker sharcerdit card info and paswored and bankging info

quick I! paym now for files be erased secure secure removed from our server bed et prof

we ar kind with ofer wil notkeep you files forever if paeyd

Перевод записки на русский язык:
Ввиду неимоверного количества ошибок и опечаток в оригинальном тексте, перевод приблизительный.

Ваши файлы зашифрованы с помощью ransomware 256 бит шифрования безопасного алгоритма sssl rot 13..:
Ваши личные файлы были загружены на мой защищенный сервер пуленепробиваемые. все важные .браузер. куки. игры...
Я могу восстановить ваш файл, если вы заплатите.
Я зашифровал файлы, которые вы не можете открыть из-за ssl шифрования rot 13 aes rijindael алгоритма военного файла,
Как восстановить мои файлы обратно?
и я сотру с моего сервера jpg txt все расширение файла безопасный shred wipe полный двойной метод.
email information contact dfercvypt files rot 13 back normal:
my mail адрес: crypt130@sharklasers.com
проверьте транзакцию btc: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD
переведите btc на почтовый адрес, программа расшифровки будет отправлена на ваш почтовый ящик.
если вы можете повернуть пк он вернется к вам нахуй он бит он не морской пейзаж
запомните ваш файл зашифрован me.....
свяжитесь со мной расшифровка цена расшифровать файл цена сумма для btc кошелек шифровать транзакция на
я шифрую дешево для вас другие есть es pensive не платите другим!!!....
свяжитесь с нами. быстро?
договориться о цене: crypt130@sharklasers.com
Если вы не желаете платить выкуп, вы будете делиться с хакерами в глубокой паутине темной паутины.
знаете ли вы tor??? это dep web aces избежать цензуры всех
хакер sharcerdit информация карты и пароль и банковская информация
быстро я! платите сейчас за файлы будут стерты безопасно безопасно удалены с нашего сервера кровать и т.д.
мы добры с ofer не будет держать вас файлы навсегда, если заплатил

---

Как сообщил добровольный исследователь, для расшифровки достаточно ввести слово Pass и немного подождать. Это демонстрируется на анимированном изображении ниже. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся фейк-шифрованию:
.docx, .jpeg, .jpg, .lnk, .pdf, .png, .rar, .rtf, .txt, .url, .zip

Это документы MS Office, PDF, текстовые файлы, фотографии, ярлыки, веб-ссылки, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note> - внутренний текст с требованием выкупа;

<random>.exe - случайное название вредоносного файла;
c.exe - название вредоносного файла (использует иконку Discord).  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt130@sharklasers.com
BTC: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 421ed51ff27bb5c8dc7696d0c1479298

SHA-1: e865419cdd49791ab1c9e612e5840875dae37b5c

SHA-256: cd41ed86dd2b59459c6e241c5ab3d210f8bd6f12129c1ff838c7d1557797bd40

Vhash: 255036551511f07222294250

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 KdssSupport
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Agenda, Qilin

Agenda Ransomware

Qilin Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $50000 - 800000, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc.exe, enc64.exe. Написан на языках Go и Rust. 
---
Обнаружения:
DrWeb -> Trojan.Siggen18.15452
BitDefender -> Trojan.GenericKD.39831782
ESET-NOD32 -> A Variant Of WinGo/TrojanDropper.Agent.AK
Kaspersky -> Trojan.Win32.DelShad.inp
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win64/AgendaGoLauncher.A!dha
Rising -> Dropper.Agent!8.2F (CLOUD)
Tencent -> Win32.Trojan.Delshad.Wptq
TrendMicro -> TROJ_GEN.R03BC0WFS22
---

© Генеалогия: Go-вымогатели >> Agenda

Сайт "ID Ransomware" это идентифицирует как Agenda (с 21 марта 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Представители вымогателей сообщают на форумах Даркнета, что не работают по странам СНГ. 

К зашифрованным файлам добавляется расширение: .<random{10}>
Пример: OnHnnBvUej

Записка с требованием выкупа называется: <random{10}>-RECOVER-README.txt

Фактически: <victim_id>-RECOVER-README.txt

Пример: OnHnnBvUej-RECOVER-README.txt

Содержание записки о выкупе:

-- Agenda

Your network/system was encrypted.

Encrypted files have new extension.

-- Compromising and sensitive data

We have downloaded compromising and sensitive data from you system/network

If you refuse to communicate with us and we do not come to an agreementyour data will be published.

Data includes:

    - Employees personal dataCVsDLSSN.

    - Complete network map including credentials for local and remote services.

    - Financial information including clients databillsbudgetsannual reportsbank statements.

    - Complete datagrams/schemas/drawings for manufacturing in solidworks format

    - And more...

-- Warning

1) If you modify files - our decrypt software won't able to recover data

2) If you use third party software - you can damage/modify files (see item 1)

3) You need cipher key / our decrypt software to restore you files.

4) The police or authorities will not be able to help you get the cipher key. We encourage you to consider your decisions.

-- Recovery

1) Download tor browser: https://www.torproject.org/download/

2) Go to domain

3) Enter credentials

-- Credentials

Extension: OnHnnBvUej

Domain: ***

login: bd61eb78-64a3-4ee0-9a8e-543b8bc***** 

password: 14158620-fb98-4889-****-*

Перевод записки на русский язык:

-- Повестка дня

Ваша сеть/система зашифрована.

Зашифрованные файлы имеют новое расширение.

-- Компрометирующие и конфиденциальные данные

Мы загрузили компрометирующие и конфиденциальные данные из вашей системы/сети.

Если вы откажетесь общаться с нами и мы не договоримся, ваши данные будут опубликованы.

Данные включают:

    - Персональные данные сотрудниковCVsDLSSN.

    - Полная карта сети, включая учетные данные для локальных и удаленных служб.

    - Финансовая информация, включая данные клиентов, счета, бюджет, годовые отчеты, банковские выписки.

    - Полные дейтаграммы/схемы/чертежи для производства в формате SolidWorks

    - И более...

-- Предупреждение

1) Если вы измените файлы - наша программа для расшифровки не сможет восстановить данные

2) Если вы используете стороннее ПО - вы можете повредить/изменить файлы (см. п.1)

3) Вам нужен ключ шифрования / нашу программу для расшифровки, чтобы восстановить ваши файлы.

4) Полиция или власти не смогут помочь вам получить ключ шифра. Мы призываем вас обдумать свои решения.

-- Восстановление

1) Скачайте tor браузер: https://www.torproject.org/download/

2) Перейдите на домен

3) Введите учетные данные

-- Реквизиты для входа

Расширение: OnHnnBvUej

Домен: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Agenda Ransomware может теневые копии файлов, очищать системные журналы, перезагружать систему в безопасном режиме (Safe Mode), пытается остановить многие процессы и службы, специфичные для сервера, имеет несколько режимов работы. Образцы программы-вымогателя  настраиваются для каждой жертвы и включают уникальные идентификаторы компаний и сведения об учетной записи. Используется метод уклонения от обнаружения во время шифрования: изменяет пароль пользователя по умолчанию и разрешает автоматический вход в систему с новыми учетными данными. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OnHnnBvUej-RECOVER-README.txt - название файла с требованием выкупа;
enc.exe, enc64.exe - названия вредоносного файла

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 64ca549e78ad1bd3a4bd2834b0f81080

SHA-1: 493ff413528f752c5fce3ceabd89d2ab37397b86

SHA-256: 93c16c11ffca4ede29338eac53ca9f7c4fbcf68b8ea85ea5ae91a9e00dc77f01

Vhash: 086066655d5d15541az28!z

Imphash: c7269d59926fa4252270f407e4dab043

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 29 июня 2022:

Сообщение >>
Результаты анализа: VT + IA + TG

MD5: a7ab0969bf6641cd0c7228ae95f6d217

SHA-1: 002971b6d178698bf7930b5b89c201750d80a07e

SHA-256: 117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464

Vhash: 086066655d6d15541az28!z

Imphash: c7269d59926fa4252270f407e4dab043

Новость сентября 2022:

Шифровальшик получил новое название — Qilin.

Сообщение от 13 февраля 2023:

Скриншот с форума Даркнета.

Сообщение группы Qilin о шифровании сети жертвы. 

Октябрь 2023:

Сообщение на форуме >>

Скриншот с сайта вымогателей в сети Tor. 

Новость октября 2024:

Новая версия Qilin Ransomware на основе Rust. 

Статья на сайте BC >>

Новость от 28 октября 2025:

Новая версия запускает шифровальщик Linux в Windows с использованием подсистемы Windows для Linux (WSL) для обхода обнаружения традиционными средствами безопасности.

Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Поздние статьи об этом:
Article by TrendMicro - 25 августа 2022
Article by Group-IB - 15 мая 2023

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kanalia

Kanalia Ransomware

XJJ-shifrator Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, но не требует выкуп, чтобы вернуть файлы. Используется примитивное шифрование, при котором к каждым пяти байтам прибавляются значения 49, 50, 51, 52, 53, и так до конца файла. Оригинальное название: в записке не указано. На файле написано: Kanalia.exe и shifrator.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.39
BitDefender -> Trojan.GenericKD.50491630
ESET-NOD32 -> A Variant Of Generik.MRUPQSX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Cqy
TrendMicro -> Ransom_Encoder.R002C0WFO22
---

© Генеалогия: родство выясняется.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: XJJ

Пример зашифрованных файлов:

document.txtXJJ

new-archive.zipXJJ

photo001.pngXJJ

Записка с требованием выкупа не обнаружена. Вместо этого используется Word-документ "Уважаемые коллеги.docx", содержащий неточности в тексте и в самом названии. 

Содержание документа:

Уважаемые коллеги, информируем Вас о наличии у задолженности за услуги связи в период с 01.02.2022 по 16.06.2022 в связи с изменениями в тарифном плане согласно акту №006352 от 14.02.2022. Отправляю Вам акт сверки по оплате выбранного тарифа. В случае не уплаты задолженности до конца месяца, доступ к услугам связи будет приостановлен.

Пароль к архиву с документами: 123

С уважением к Вам,

Старший менеджер отдела связи

Куликовский АФ

Как видите, цель этого документа вынудить читателя открыть второй "документ" Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe, который является вредоносным. 

Он имеет иконку Word, но exe-расширение. Пользователи, в чьей системе отключено отображение расширений для зарегистрированных типов файлов, не увидят расширение и попытаются открыть файл. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
.doc, .docx, .xls, .xlsx, .dot, .ppt, .odt, .pdf, .MD, .DBF, .txt, .bmp, .jpg, .png, .tif, .rar, .zip 

Это документы MS Office, OpenOffice, WordPad, PDF, текстовые файлы, фотографии, архивы и прочее.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

Kanalia.pdb - оригинальное название файла проекта; 
Kanalia.exe - случайное название вредоносного файла;

Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe - распространяемый вредоносный файл. 

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Teacher\documents\visual studio 2010\Projects\Kanalia\Kanalia\obj\x86\Debug\Kanalia.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CLR_CASOFF_MUTEX

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0700f3bffdbbf5ecc2a9c63f8b3742a8

SHA-1: 38344723d174f57f736cbc82accbfb632b778f8a

SHA-256: 87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed

Vhash: 2640465d15651140721610050

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***

Внимание! 
Файлы можно расшифровать! 
Обращайтесь на форум KasperskyClub к thyrex

 Thanks: 
 Sandor, thyrex
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.