ReturnBack

ReturnBack Ransomware

ReturnBackCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать вымогателям, чтобы заплатить выкуп и узнать, как вернуть файлы. Оригинальное название: Locker и Crypt. На файле написано: Crypt_test, Crypt.exe и Copyright © 2024. В некоторых случаях расшифровка возможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.40845
BitDefender -> Gen:Variant.Ser.MSILHeracles.3989
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BES
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Filecoder.MSIL.Generic
Microsoft -> Ransom:MSIL/CryptLocker.YCB!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c022be
TrendMicro -> Ransom_CryptLocker.R002C0DGR24
---

© Генеалогия: ✂ BlackDream/BlackLegion + другой код >> ReturnBack

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>, например: .lGiKf865

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED!!!

All your files, documents, photos, databases and other important files are encrypted.

The only way to recover your files is to get a decryptor.

To get the decryptor, write to us by mail or telegram, specify the ID of the encrypted files in the letter:

Email: returnback@cyberfear.com

Telegram: https://t.me/returnbackcyberfearcom

Warning!!!

* Do not rename files.

* Do not attempt to decrypt data using third party software, as this may result in permanent data loss.

* Do not contact other people, only we can help you and recover your data.

Your personal decryption ID: ***

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Единственный способ восстановить ваши файлы — получить дешифратор.

Чтобы получить дешифратор, напишите нам на почту или в телеграмм, укажите в письме ID зашифрованных файлов:

Email: returnback@cyberfear.com

Telegram: https://t.me/returnbackcyberfearcom

Внимание!!!

* Не переименовывайте файлы.

* Не пытайтесь расшифровать данные с помощью стороннего ПО, так как это может привести к безвозвратной потере данных.

* Не обращайтесь к другим людям, только мы можем помочь вам и восстановить ваши данные.

Ваш персональный decryption ID: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
Crypt.exe - название вредоносного файла; компиляция файла фальшивая (указан 2053 год).

Crypt.exe.log - видимо лог работы файла шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\60610c3e46cad3e438\README.txt

C:\Users\Administrator\Desktop\Lock\Locker\obj\Debug\Crypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: returnback@cyberfear.com

Telegram: returnbackcyberfearcom

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR

MD5: c9fc5ead99455414732c85614c676afa 

SHA-1: 99ae4a704b37bd1c3f190f99b52493f68bcbe3df 

SHA-256: aa99c913decb96133a013abe8d71a057862e3328e8297c959c8eeb063c283a66 

Vhash: 214036551511508aa1z78 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 июля или раньше:

Сообщение на форуме >>

Расширение: .7rd0ioOQ9

Записка: README.txt

Email: decryptor@cyberfear.com

Telegram: hxxxs://t.me/bit_decryptor

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

🔓🔑
Under certain conditions, decryption is possible. Write to Topic of Support.
В некоторых случаях дешифровка возможна. Пишите в тему поддержки. 

 Thanks: 
 quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CyberVolk

CyberVolk Ransomware

Aliases: CyberBytes, Cyb3r Bytes

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+SHA-512+RSA-4096, а затем требует выкуп $1000 в BTC, чтобы вернуть файлы. Оригинальное название: CyberVolk. На файле написано: ransom.exe. Написан на C/C++. Группа называет себя CyberVolk. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39187
BitDefender -> Trojan.GenericKD.73332128
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQW
Kaspersky -> HEUR:Trojan-Ransom.Win32.GenericCryptor.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Ransom:Win32/CyberVolk.PA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c01876
TrendMicro -> Ransom_CyberVolk.R002C0DG524
---

© Генеалогия: родство выясняется >> CyberVolk

Сайт "ID Ransomware" идентифицирует это как CyberVolk с 5 июля 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .cvenc 

Записка с требованием выкупа называется: CyberVolk_ReadMe.txt

Содержание записки о выкупе:

Greetings.

 All your files have been encrypted by CyberVolk ransomware.

 Please never try to recover your files without decryption key which I give you after pay. 

They could be disappeared� 

You should follow my words.

Pay $1000 BTC to below address.

My telegram : @hacker7

Our Team : https://t.me/cubervolk

We always welcome you and your payment.

Требования выкупа также написаны на экране блокировки, кроме того, меняются обои рабочего стола на собственные с тем же кибер-волком.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberVolk_ReadMe.txt - название файла с требованием выкупа;

tmp.bmp - изображение, заменяющее обои рабочего стола; 

time.dat - специальный файл с цифрами; 
ransom.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe

C:\Users\admin\AppData\Roaming\time.dat

C:\Users\admin\AppData\Local\Temp\tmp.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -

Telegram: @hacker7

Telegram:  hxxxs://t.me/hackerk7

Telegram:  hxxxs://t.me/cubervolk

BTC: bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR 

MD5: 648bd793d9e54fc2741e0ba10980c7de 

SHA-1: f5d0c94b2be91342dc01ecf2f89e7e6f21a74b90 

SHA-256: 102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12 

Vhash: 086046655d1567z90058hz12z1bfz 

Imphash: f032b4cc0eb4f2eac3f528efe4c73962

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыдущий вариант от 25 июня 2024:

Самоназвание: Cyb3r Bytes (Cyberbytes) Ransomware 

Группа хакеров: Cyb3r Bytes Team

Сообщение >>

Расширение: .cvenc

Записка: CyberVolk_ReadMe.txt

Telegram: @xpolarized

Team: hxxxs://t.me/cyb3rbytes

IOC-1: VT, IA

IOC-2: VT, IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.39188

ESET-NOD32 -> A Variant Of Win32/Filecoder.OQWFortinet

Malwarebytes -> Ransom.CyberVolk

Microsoft -> Ransom:Win32/CyberVolk.PA!MTB

TrendMicro -> Ransom_CyberVolk.R011C0DG624

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Wikipedia

Wikipedia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и виртуальных машин с помощью комбинации алгоритмов AES-128 CTR и RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Пострадавшие, сообщают, что дешифровщик, полученный после уплаты выкупа не работает с файлами больше 4 Гб и вымогатели не отвечают на претензии. Но, как показывает опыт, некоторые большие файлы могут быть повреждены после резета ПК, потому проблема может быть и не связана с дешифровщиком. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Wikipedia

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в июне 2024 г. и продолжилась в июле 2024. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wikipedia


Записки с требованием выкупа могут называться: 

how_to_decrypt_files.txt 

* Содержание записки, возможно частично изменено пострадавшим перед передачей файла. 

Содержание записки о выкупе:

ATTENTION !

All your files have been securely ENCRYPTED.

No third party decryption software EXISTS.

MODIFICATION or RENAMING encrypted files may cause decryption failure.

To start the decryption process, Contact me.

My email address: widosru39@tutamail.com

After the payment has been confirmed,

you will receive the decryptor for decryption!

Other information:

If you don't own bitcoin, you can buy it very easily here.

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

You can find a larger list here:

https://bitcoin.org/en/exchanges

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
 VHD-файлы виртуальных машин.

Файлы, связанные с этим Ransomware:
read me.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: widosru39@tutamail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

IN RUSSIAN: Для расшифровки файлов и исправления ошибок в шифровании обращайтесь в тему поддержки на форуме Bleeping Computer. Помощь предоставляется только пострадавшим, без посредников. 

---

IN ENGLISH: To decrypt files and fix files encryption errors, please contact the Support Topic on the Bleeping Computer forum. Assistance is provided only to affected users (extortion victims), without intermediaries.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Прямого родства пока не обнаружено. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 июля 2024:

Сообщение на форуме >>

Расширение: .wikipedia

Записка: how_to_decrypt_files.txt 

Email: itlomec2938@proton.me

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cicada3301

Cicada3301 Ransomware

Cicada3301 Extortion Group

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель, используемый группой хакеров-вымогателей, шифрует данные бизнес-пользователей Windows, Linux, NAS, VMware ESXi с помощью комбинации алгоритмов ChaCha20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cicada3301. На файле написано: нет данных. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Dridex.864, Trojan.Dridex.863, Trojan.Encoder.41002
BitDefender -> ***
ESET-NOD32 -> A Variant Of Win32/Filecoder.ORN
Kaspersky -> Trojan-Ransom.Win32.Agent.bbut
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Malgent!MSR, Ransom:Win32/Cicada.DA!MTB

QuickHeal > Ransom.Cicada.S34143970
Rising -> Trojan.Malgent!8.10C33 (CLOUD), Ransom.Agent!8.6B7
Tencent -> Malware.Win32.Gencirc.10c044db, Malware.Win32.Gencirc.10c04256, Malware.Win32.Gencirc.10c043e9
TrendMicro -> Ransom.Win32.CICADA.YXEID
---

© Генеалогия: ✂ ALPHV/BlackCat >> Cicada3301

Сайт "ID Ransomware" идентифицирует это как Cicada3301 с 7 августа 2024. 

Информация для идентификации

Активность этой группы вымогателей началась в начале-середине июня 2024 г., с момента публикации сообщения о первой жертве. Далее они стали себя продвигать на форуме RAMP в Даркнете. Ориентирован на англоязычных пользователей, средний и крупный бизнес. Может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

Записка с требованием выкупа называется: RECOVER-<extension>-DATA.txt

Содержание сайта хакеров-вымогателей:

Пострадавшие компании с 15 июня по 12 августа 2024. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Впервые представители Cicada3301 стали рекламировать свое детище как RaaS и набирать аффилянтов 24 июня 2024 года, опубликовав сообщение на русском языке на форуме Даркнета, известном как RAMP. Аффилянтам запрещено атаковать объекты в станах СНГ. 

Вымогатели могут установить параметр сна, чтобы отложить выполнение шифрования и избежать немедленного обнаружения.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ На атакованных компьютерах и виртуальных машинах перед шифрованием данных удаляются теневые копии файлов и моментальные снимки, чтобы свести к минимуму возможности восстановления данных без уплаты выкупа. 

Список типов файлов, подвергающихся шифрованию:

.bmp, .doc, .docm, .docx, .dotm, .dotx, .gif, .jpeg, .jpg, .mdf, .odp, .ods, .odt, .pdf, .png, .potm, .ppsm, .ppsx, .pptm, .pptx, .psd, .ptox, .raw, .rtf, .sql, .tiff, .txt, .webp, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Подробности о шифровании:  

Шифровальщик проверяет размер целевого файла. Если файл больше 0x6400000, то он будет шифровать файл по частям, а если меньше, то будет шифроваться весь файл. Файлы будут зашифрованы симметричным ключом, сгенерированным OsRng с использованием ChaCha20. После завершения шифрования программа-вымогатель шифрует ключ ChaCha20 с помощью предоставленного ключа RSA и записывает расширение в зашифрованный файл.

Файлы, связанные с этим Ransomware:
RECOVER-<extension>-DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR

---

IOC: VT, IA, TG, AR

---

IOC: VT, IA, TG, AR

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up, Write-up

 Thanks: 
 TrueSec, JAMESWT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Fog

Fog Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES и RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: locker_out.exe. Распространяется группой с одноименным названием. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.39051
BitDefender -> Trojan.GenericKD.72709544
ESET-NOD32 -> Win32/Agent.AGMY
Kaspersky -> Trojan-Ransom.Win32.Agent.bbre
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Rapidstop.E!cl
Rising -> Trojan.Kryptik!8.8 (TFE:2:Ypv5fBuNKuN)
Tencent -> ***
TrendMicro -> Ransom.Win32.FOG.THEOFBD
---

© Генеалогия: родство выясняется >> Fog

Сайт "ID Ransomware" идентифицирует Fog с 25 июня 2024.

Информация для идентификации

Активность этого крипто-вымогателя была замечена группой реагирования на инциденты Arctic Wolf с начала мая 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Был замечен в атаках на неназванных бизнес-пользователей в США. 

К зашифрованным файлам добавляются расширения: .fog или .flocked 

Записка с требованием выкупа называется: readme.txt

Оригинал записки не был предоставлен исследователями. Странные пошли исследователи...


Фраза с сайта вымогателей:
We call ourselves Fog and we take responsibility for this incident.

Перевод фразы на русский язык:
Мы называем себя Fog и берем ответственность за этот инцидент.


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Использует известные свободно  распространяемые инструменты PsExec, Metasploit, SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares и файл PowerShell-скрипта Get-Creds.ps1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;

DbgLog.sys - специальный файл, используемый вымогателем для собственных целей;  

Get-Creds.ps1 - скрипт PowerShell, используемый для получения паролей от Veeam Backup и Replication Credentials Manager; 
locker_out.exe, lck.exe, fs.exe - названия вредоносных файлов в разных вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\locker_out.exe

C:\Users\User\AppData\Local\Temp\DbgLog.sys

C:\Users\User\Desktop\DbgLog.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://xql562evsy7njcsngacphc2erzjfecwotdkobn3m4uxu2gtqh26newid.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: 617d79c02ebac68b613d5b7cdbf001fd 

SHA-1: 83f00af43df650fda2c5b4a04a7b31790a8ad4cf 

SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3 

Vhash: 015066655d75155560a3z12z4ehz33z2fz 

Imphash: 3aee5e872c96d4317cae38099830979c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ArcticWolf, MalwareHunterTeam, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.