Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 5 февраля 2023 г.

Medusa Stealer

Medusa Stealer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Medusa Stealer Ransomware

Этот крипто-вымогатель не распространяется отдельным файлом. Он является частью функционала ботнета Medusa и шифрует файлы с помощью библиотеки Python, которая позволяет шифровать файлы с помощью AES-256. При этом системные и зашифрованные файлы пропускаются. Затем модуль-вымогатель требует выкуп в 0.5 BTC за расшифровку файлов. Оригинальное название: Medusa Stealer Malware, Medusa-Stealer и 
MedusaRansomware
---
Обнаружения:
DrWeb -> Python.Stealer.707
BitDefender -> ***
ESET-NOD32 -> Python/Agent.VM
Kaspersky -> ***
Malwarebytes -> Spyware.MedusaStealer
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Generic@AI.81 (RDML:l1cDUB***
Tencent -> Win32.Trojan.Dropper.Rwhl
TrendMicro -> TROJ_FRS.VSNTK622
---
DrWeb -> Linux.DownLoader.37
BitDefender -> Trojan.GenericFCA.Agent.70624
Kaspersky -> HEUR:Trojan-Downloader.Shell.Agent.p
McAfee -> Linux/Downloader.p
Microsoft -> TrojanDownloader:SH/Medusa.A!MTB
Rising -> Downloader.Agent!8.B23 (TOPIS:E0:bYEpUz0QOWI)
Tencent -> Win32.Trojan-Downloader.Agent.Lajl
TrendMicro -> Possible_BASHDLOD.SMLBO2
---

© Генеалогия: Medusa более ранний вариант >> 
Medusa Stealer


Сайт "ID Ransomware" идентифицирует это как Medusa Stealer


Информация для идентификации

Предыдущие образцы были найдены в середине октября 2022. Активность этого крипто-вымогателя пока не наблюдается, но информация об использовании функционала в ботнете была получена в начале февраля 2023 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .medusastealer 

Записка с требованием выкупа выводится на экране: 

Medusa Stealer Ransomware note - записка

Содержание записки о выкупе:
Your files have been encrypted with Medusa Stealer
To decrypt your files, send 0.5 BTC to the following address: 1Jw***
After sending the BTC, send an email to medusa-stealergprotonmail.com with the following ID: 
Your files will be decrypted within 24 hours
If you do not send the BTC, your files will be deleted within 24 hours
Medusa Stealer Malware

Перевод записки на русский язык:
Ваши файлы зашифрованы с Medusa Stealer
Чтобы расшифровать ваши файлы, пошлите 0,5 BTC на следующий адрес: 1Jw***
После отправки BTC отправьте email на medusa-stealergprotonmail.com со следующим ID: ***
Ваши файлы будут расшифрованы в течение 24 часов
Если вы не отправите BTC, ваши файлы будут удалены в течение 24 часов.
Medusa Stealer Malware


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 


Скриншот страниц сайта вымогателей



Текст на сайте на французском языке:
HTTP Monitoring Tool
Security Experts
Medusa Stealer's est un outil de contrôle d'accès à distance en ligne axé sur la récupération et l'extraction de données destiné aux développeurs et aux analystes en cybersécurité pour tester leurs applications. Nous sommes la nouvelle ère de la surveillance basée sur le cloud.
Fonctions riches & dynamiques
Nous disposons d'un panneau de contrôle incroyablement riche qui vous permet de personnaliser vos contrôles à votre guise, en maximisant votre champ d'essai, ce qui se traduira par une expérience optimale.

Перевод на русский (от Google):
Инструмент мониторинга HTTP 
Эксперты по безопасности 
Medusa Stealer — это онлайн-инструмент управления удаленным доступом, ориентированный на восстановление и извлечение данных для разработчиков и аналитиков по кибербезопасности для тестирования своих приложений. Мы — новая эра облачного мониторинга.
Богатые и динамичные функции
У нас есть невероятно богатая панель управления, которая позволяет вам настраивать элементы управления по своему вкусу, максимизируя ваше тестовое поле, что приведет к наилучшему опыту.



 



Технические детали + IOC

Распространяется с помощью ботнета Mirai как часть функционала с модулем, предназначенным для вымогательства. При запуске ботнет Mirai подключается к C&C серверу и извлекает файл medusa_stealer.sh, который затем выполняется. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


На рисунке ниже показан фрагмент кода функции MedusaRansomware(), используемой для шифрования файлов.

По данным исследователей из Cyble, первыми изучившими функционал вымогателя, данный функционал содержит ошибку и, вероятно, пока находится в разработке. Неизвестно, насколько распространяется его активность и в каких странах применяется. 


После шифрования файлов на устройстве вредоносное ПО засыпает на 86 400 секунд (24 часа), а затем удаляет все файлы на системных дисках. После удаления файлов оно отображает записку о выкупе, в которой требует заплатить 0,5 BTC (11 400 долларов США), что нелогично для получения выкупа. Cyble считает, что это ошибка в коде, поскольку удаление файлов на системных дисках делает невозможным использование жертвами своих систем и чтение записки о выкупе. Эта ошибка также указывает на то, что новый вариант или, по крайней мере, эта функция все еще находится в разработке.

Функция send_data () используется для сбора различной информации о системе и отправки её на удаленный сервер по адресу hxxps://medusa-stealer[.]cc/add/bot. Функция send_data () вызывает внутреннюю функцию all_data_system() , которая собирает такую ​​информацию, как имя пользователя, имя хоста, IP-адрес, ОС, использование ЦП и ОЗУ, общее количество ядер ЦП и уникальный идентификатор системы. Собранная информация сохраняется в словарной переменной data и возвращается функцией. 


На рисунке выше показан фрагмент кода функции send_data(), используемой для эксфильтрации данных. 


✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию: 
.bat, .c, .cpp, .cs, .css, .docb, .docm, .dotm, .go, .html, .inf, .java, .js, .lnk, .mfl, .mht, .mhtml, .mof, .mrb, .mrc, .msh, .msh1, .msh1xml, .msh2, .msh2xml, .mshxml, .php, .pl, .potm, .ppam, .ppsm, .pptm, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psm1, .psrc, .rb, .reg, .scf, .sh, .sldm, .svg, .svgz, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm, .xml, .xsd, .xsl, 
Это документы и шаблоны MS Office, файлы веб-страниц, PowerShell-файлы, векторная графика и пр.

Файлы, связанные с этим Ransomware:
medusa_stealer.sh - извлеченный и исследованный вредоносный файл; 
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://medusa-stealer.cc - адрес сайта и C&C-сервера
Email: medusa-stealer@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: bdc0920c0aa76ce2b09eeb18d76fdc63
SHA-1: 4910858e175eb8b22f5821e2555e6aa6a0f143c2
SHA-256: 2a0047fe9748f2a45196dbf75e4f1a951d249daad380cbc9eab85ff66fb35814
Vhash: 086056656d1575604013z3005emz11fz
Imphash: fa2936ff523bbe01bb11c81e10c9ad2d
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e3a08ffb7106ece9612d3aa8078a8287
SHA-1: c059eec897c48b81cfc6a6765e176cc88231c31e
SHA-256: 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***

Thanks: AuCyble, BleepingComputer, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 3 февраля 2023 г.

ESXi-hacked, ESXiArgs

ESXi-hacked Ransomware

ESXiArgs Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные серверов на основе гипервизора VMware ESXi, а затем подменяет сообщение на входе, заменяя его своим с требованием выкупа в несколько BTC. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
О том, что такое ESXi читайте на официальном сайте. Данный сайт не предназначен для объяснений коммерческих продуктов и технологий. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> 
ESXi-hacked (ESXiArgs)


Сайт "ID Ransomware" это идентифицирует как ESXiArgs


Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2023 г. Возможно, что более ранние варианты были уже в декабре 2022 года.  Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .args

Записки с требованием выкупа называются по разному: 
ransomnote.html
ransom.html
How to Restore Your Files.html
и другие названия. 




В разных записках используются одинаковый текст и TOX_ID, а разные только BTC-адрес и сумма выкупа.

Содержание записки о выкупе:
How to Restore Your Files
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.0*** bitcoins to the wallet 1PAFdD9fwqRWG4VcCGuY27VT**********
If money is received, encryption key will be available on TOX_ID: 
D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled

Перевод записки на русский язык:
Как восстановить свои файлы
Тревога!!!
Мы успешно взломали вашу компанию.
Все файлы украдены и зашифрованы нами
Если вы хотите восстановить файлы или избежать утечки файлов, пожалуйста, отправьте 2.0*** биткоинов на кошелек 1PAFdD9fwqRWG4VcCGu***************
Если деньги будут получены, ключ шифрования будет доступен на TOX_ID: 
D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Внимание!!!
Присылайте деньги в течение 3 дней, иначе мы раскроем некоторые данные и поднимем цену.
Не пытайтесь расшифровать важные файлы, это может повредить ваши файлы
Не доверяйте тем, кто обещает расшифровать, они лжецы, никто не может расшифровать без ключевого файла
Если вы не отправите биткоины, мы уведомим ваших клиентов о нарушении данных по email и текстовыми сообщениями.
И продадим ваши данные вашим конкурентам или преступникам, данные могут быть обнародованы.
Примечание
SSH включен
Брандмауэр отключен


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC


Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удалённого выполнения кода двухлетней давности для развертывания программ-вымогателей.

Уязвимость, отслеживаемая как CVE-2021-21974 (ещё об этом), вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.

CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG

Этот Ransomware может распространяться путём атаки на незащищенную и необновлённую конфигурацию ESXi, но подробный способ проникновения и атаки пока не описан. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
.nvram, .vmdk, .vmsd, .vmx, .vmxf

Файлы, связанные с этим Ransomware:
ransom.html - названия файла с требованием выкупа;
ransomnote.html - названия файла с требованием выкупа;
How to Restore Your Files.html - названия файла с требованием выкупа. 

Расположения:
/usr/lib/vmware/hostd/docroot/
/usr/lib/vmware/hostd/docroot/ui/ 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A
Email: -
BTC: 
1PAFdD9fwqRWG4VcCGuY27VTW8xPZmuF1D
BTC: 1GequkXF8tEYrfPhpY79TrV7xRTMargC92
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория от 3 августа 2022:
В статье рассказывалось, как просто работает программа-вымогатель для ESXi, это должно было подвигнуть администраторов систем на устранение уязвимости, но не все воспользовались этой рекомендацией. 


Новость от 4 февраля 2023:
Участник форума с ником spetsnax предложил решение по восстановлению работоспособности затронутых машин. Некоторые пострадавшие, следуя этой инструкции, смогли исправить свои машины и восстановить работу в целом. 
Инструкции на сайте >>


Новость от 9 февраля 2023:
Новая версия программы-вымогателя не позволяет восстановить файлы предложенным выше способом. 
Статья на сайте BleepingComputer >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***

Thanks: quietman7, Jacques Cheminat, Michael Gillespie, spetsnax Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 23 января 2023 г.

BTC-azadi

BTC-azadi Ransomware

BTC-azadi NextGen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью комбинации алгоритмов (возможно: Curve25519, Salsa20, ChaCha20), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Crypter.exe. 
---
Обнаружений в январе 2023:
не было
---
Обнаружения в марте 2023:
DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Fragtor.201207
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.Win32.Azadi
Malwarebytes -> Ransom.FileCryptor / Generic.Ransom.FileCryptor.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (TFE:5:mf7HVilERiG)
Tencent -> Malware.Win32.Gencirc.10be3b2e
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


© Генеалогия: более ранние варианты >> Proxima >> 
BTC-azadi, BTC-azadi NG, Cylance > более поздние (похожие) варианты

Этимология названия: 
Вымогатели не сообщили названия своей программы. В таком случае мы может использовать слова из расширения и логина почты: BTC + azadi.
В переводе с персидского (фарси) и некоторых других родственных ему языков, azadi (آزادی) означает "свобода" (на англ. freedom). Хорошее слово, но оно используется в вымогательских целях, потому: BTC-azadi. На момент написания статьи мы не знаем, какое значение вымогатели вложили в это слово, когда создавали логин для почты, возможно это просто ник или чья-то фамилия. 


Сайт "ID Ransomware" это пока не идентифицирует. 
Вернее, идентифицирует неправильно, опираясь на расширение .BTC, которые использовалось в разных вымогательских атаках. 


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2023 г. Затем продолжилось в новых вариантах (см. после основной статьи).  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .BTC

Фактически используется составное расширение по шаблону: .EMAIL=[azadi33@smime.ninja]ID=[<random{16}>].BTC

В секции 
random{16} используется набор из 16 цифр и букв в верхнем регистре, например таких: 23868595F549B276


Записка с требованием выкупа называется: How To Restore Files.txt


Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F54*****

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент ваша система не защищена.
Мы можем это исправить и восстановить файлы.
Сначала пошлите файл на пробную расшифровку.
Вы можете доверять нам после открытия тест-файла.
Для восстановления системы пишите на оба адреса: azadi33@smime.ninja и azadi33@keemail.me
Ваш ID расшифровки: 23868595F549B397


В некоторых сообщениях в разных вариантах, которые присылали пострадавшие, есть ошибки (опечатки или обманки). Нет возможности показать даже некоторые из них. 

Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Files.txt - название файла с требованием выкупа;
Crypter.exe - название вредоносного файла;
RUN.dll - еще один вредоносный файл
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\RUN.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azadi33@smime.ninja, azadi33@keemail.me
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Proxima Ransomware - январь 2023
BTC-azadi Ransomware - январь 2023
Cylance Ransomware - март 2023
BTC-azadi NextGen Ransomware - с марта 2023
.Merlin Ransomware - март-май 2023
.FAST Ransomware - апрель-май 2023
.resq100, .havoc - июнь-июль 2023
.alvaro, .harward - июль-сентябрь 2023
BlackShadow Ransomware - май-июль 2023
BlackBerserk (BlackRecover) - с июля 2023
другие варианты - август-ноябрь 2023
Lambda (LambdaCrypter) Ransomware - октябрь 2023


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 марта 2023:
Дата создания файла: 4 марта 2023. 
Короткое расширение: .BTC
Составное расширение (пример): .EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC



Записка: #FILE ENCRYPTED.txt
Email: antistrees2000@keemail.me, jackdecrypt@smime.ninja


---
На компьютере пострадавшего были замечены расширения разной длины:
.EMAIL=antis.BTC
.EMAIL=antistrees2000@keemail.BTC
.EMAIL=antistrees2000@keemail_meID=.BTC
.EMAIL=antistrees2000@keemail_meID=6A3C5245BE2098C3.BTC

Но в анализе все расширения оказались одинаковыми:
.EMAIL=[antistrees2000@keemail.me]ID=[6A3C5245BE2098C3].BTC
---
Результаты анализа: VT, TG, IA
Обнаружения: 
DrWeb -> Trojan.Encoder.37369
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
TrendMicro -> Ransom.Win32.BTCAZADI.SMTH


Обновление от 24 мая 2023:
Дата создания файла: 17 апреля 2023. 
Сообщение: twitter.com/pcrisk/status/1661618927758131201
Расширение: .FAST
Составное расширение (пример): .EMAIL=[fastdec@tutanota.com]ID=[A883F5AA2ED1B435].FAST
Записка: #FILEENCRYPTED.txt
Email: fastdec@tutanota.com, azadi3@outlookpro.net
Результаты анализа: VT, TG, IA
Обнаружения: 
DrWeb -> Trojan.Encoder.37369
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
TrendMicro -> Ransom.Win32.BTCAZADI.THEBEBC


---

Родственные варианты, назовем их BTC-azadi NextGen Ransomware: 

Вариант от 10 марта 2023, активный в марте-мае 2023:
Расширение: .Merlin
Записка: Merlin_Recover.txt
Email: Merlin@outlookpro.net, Merlin@cyberfear.com, Merlin@onionmail.org
Файл: windows.exe
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.37363
BitDefender -> Generic.Ransom.Spora.1F35E5E6
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.367607394
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
Rising -> Trojan.Generic@AI.98 (RDML:AP***
Tencent -> Malware.Win32.Gencirc.10be6c93
TrendMicro -> Ransom.Win32.REMNIL.THBAFBC



Вариант от 2 мая 2023:
Сообщение >>
Расширение: .Antoni
Запсика: Antoni_Recovery.txt
Email: Antonia@onionmail.org, Antoni@cyberfear.com
IOC: VT: 12C209E50949C1FB740CA751754F7871




Вариант от 24 июня 2023, активный в июне-июле 2023:
Расширение: .resq100
Записка: resq_Recovery.txt
Email: resq100@onionmail.org, resq100@cyberfear.com
Файл: Crypter.exe
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.FSWiper.1
BitDefender -> Generic.Ransom.Spora.614094CA
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Trojan.FSWiper
Microsoft -> Ransom:Win32/Resq.PAF!MTB
Rising -> Trojan.Generic@AI.98 (RDML:k***
Tencent -> Malware.Win32.Gencirc.10bf0148
TrendMicro -> TROJ_GEN.R002C0PG123



Вариант от 22 июня, активный в июне-июле 2023:
Расширение: .havoc
Полное расширение: .EMAIL=[aesdecrypt@gmail.com ]ID=[6D150A0B7E53F99E].havoc
Записка: FILES ENCRYPTED.txt
Email: aesdecrypt@gmail.com, bnbrans@outlook.com
Файл: Crypter.exe
IOC: VT, TG, AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.37369
BitDefender -> Gen:Variant.Ransom.Adhubllka.84
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:m***
Tencent -> Malware.Win32.Gencirc.10beffc0
TrendMicro -> Ransom.Win32.BTCAZADI.SMTHYXDIQ



Вариант от 19 июля 2023, активный в июле-сентябре 2023:
Расширение: .alvaro
Полное расширение: .EMAIL=[alvarodecrypt@gmail.com]ID=[6D1A0B507E3F959E].alvaro
Записка: FILE ENCRYPTED.txt
Email: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com
Файл: hardware.exe или другой
IOC: VT




Вариант от 23 июля 2023, активный в июле-сентябре 2023:
Расширение: .harward
Полное расширение: .EMAIL[alvarodecrypt@gmail.com]ID=[908D28930971C614].harward
Записка: FILE ENCRYPTED.txt
Доп. файл: file encrypted.txt
Email-1: alvarodecrypt@gmail.com, alvarodecrypt@outlook.com, 
Email-2: antistrees2000@keemail.me, jackdecrypt@smime.ninja
Файл: Crypter.exe
IOC: VT, TG



Вариант от 20 августа 2023, активный в августе-сентябре 2023:
Расширение: .rival
Полное расширение: .EMAIL=[recoveryanti@gmail.com]ID=[A7BF40638C0B7184].rival
Записка: FILE ENCRYPTED.txt
Email: recoveryanti@gmail.com, ransupport@onionmail.org
Файл: Crypter.exe
IOC: VT, TG
➤ Обнаружения: 
BitDefender -> Gen:Variant.Zusy.495910
DrWeb -> Trojan.Siggen21.12718
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIODBC



Вариант от 29 августа 2023, активный в августе-сентябре 2023:
Расширение: .elibe
Полное расширение: .EMAIL=[recoveryfile7@gmail.com]ID=[1730E6121CD87855].elibe
FILES ENCRYPTED.txt
Email: recoveryfile7@gmail.com, Eliberansmoware@outlook.com
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Siggen21.12718
BitDefender -> Gen:Variant.Zusy.495910
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Ransom:Win32/CylanCrypt.PAC!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIAHBC



Вариант от 22 сентября, активный в сентябре-октябре 2023: 
Расширение: .ELCTRONIC
Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[142B4BFB2B4FD9BD].ELCTRONIC
Записка: README ELECTRONIC.txt
Email: electronicrans@gmail.com, electronicrans@outlook.com
Telegram: @mgam161
IOC: VT, TG
➤ Обнаружения: 
DrWeb -> Trojan.Siggen21.32930
BitDefender -> Gen:Variant.Fugrafa.295066
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Malwarebytes -> Malware.AI.3983766851
Microsoft -> Trojan:Win32/FileCoder.ARA!MTB
QuickHeal -> Ransom.Cylance.S30114602
TrendMicro -> Ransom.Win32.BTCAZADI.THIBHBC



Вариант от 8 декабря, активный в декабре 2023: 
Расширение: .ELECTRONIC
Полное расширение: .EMAIL=[electronicrans@gmail.com]ID=[26A19091FD46D6A5].ELECTRONIC
Записка: README ELECTRONIC.txt
Email: electronicrans@gmail.com, electronicrans@outlook.com



=== 2024 ===

*** Пропущенные варианты ***

Вариант от 6 ноября 2024: 
Самоназвание: Kasper Ransomware
Расширение: .kasper
Записка: README kasper.txt
Email: kasperskyrans@outlook.com, kasperskyrans@gmail.com
Telegram: @kasperrecovery
IOC: VT, IA
https://www.virustotal.com/gui/file/9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0/detection
MD5: e26b78957c1360ed4f023579eb01fa21 
SHA-1: 6ebaae04d60475980012f8442e9a29949ec7334c 
SHA-256: 9256108aa898b9cfc4d177e8594c3881ebe1aab13091e879614a547ae9b00bb0 
Vhash: 015056655d15556078z65hz3031z3fz 
Imphash: 5faa97909af8129b66dff3dd95bb8fb1
Обнаружения: 
DrWeb -> Trojan.Encoder.41226
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Trojan:Win32/Filecoder.ARA!MTB

Вариант от 14 ноября 2024: 
Самоназвание: Biobio Ransomware, как новый вариант Kasper Ransomware
Расширение: .biobio
Полное расширение: .EMAIL=[biobiorans@gmail.com]ID=[CC3B1F89FAA517E4].biobio
Записка: biobio ransmoware.txt
Email: biobiorans@keemail.me, biobiorans@gmail.com
Telegram: @biobiorans
IOC: VT, IA
MD5: 4aed4c0e78d355e497f2cc509ff078b5 
SHA-1: 31a2ccfd5a679d2badc5fb66f243d4887d9ca444 
SHA-256: ed4e298040946a3be24dcde8303216644c2d2b78444bb1c9bfc7d17c748aeaa5 
Vhash: 015056655d15556078z65hz3031z3fz 
Imphash: 5faa97909af8129b66dff3dd95bb8fb1
Обнаружения:
DrWeb -> Trojan.Encoder.41226
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONI
Microsoft -> Trojan:Win32/Filecoder.ARA!MTB




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support, Topic of Support ***

Thanks: Sandor, rivitna Andrew Ivanov (article author) quietman7, zzirngzzvn, pcrisk to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *