Cloak

Cloak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов шифрования, используемых в ARCrypt, а затем требует написать в чат на сайте вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---

© Генеалогия: ✂ Babuk + другой код >> Cloak

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crYpt

Записка с требованием выкупа называется: readme_for-unlock.txt

Содержание записки о выкупе:

!!! ATTENTION !!!

Your network is hacked and files are encrypted.

Including the encrypted data we also downloaded other confidential information:

Data of your employees, customers, partners, as well as accounting and

other internal documentation of your company.

All data is stored until you will pay.

After payment we will provide you the programs for decryption and we will delete your data.

If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:

1) The personal information of your employees and customers may be used to obtain a loan or

purchases in online stores.

2) You may be sued by clients of your company for leaking information that was confidential.

3) After other hackers obtain personal data about your employees, social engineering will be

applied to your company and subsequent attacks will only intensify.

4) Bank details and passports can be used to create bank accounts and online wallets through

which criminal money will be laundered.

5) You will forever lose the reputation.

6) You will be subject to huge fines from the government.

You can learn more about liability for data loss here:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://gdpr-info.eu/

Courts, fines and the inability to use important files will lead you to huge losses.

The consequences of this will be irreversible for you.

Contacting the police will not save you from these consequences,

but will only make your situation worse.

You can get out of this situation with minimal losses

To do this you must strictly observe the following rules:

DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.

Such actions may DAMAGE them and decryption will be impossible.

DO NOT use any third party or public decryption software, it may also DAMAGE files.

DO NOT Shutdown or Reboot the system this may DAMAGE files.

DO NOT hire any third party negotiators (recovery/police, etc.)

You need to contact us as soon as possible and start negotiations.

Instructions for contacting our team:

Download & Install TOR browser: https://torproject.org

For contact us via LIVE CHAT open our

> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

> Login: CLIENT

> Password: D01EuXJTiTnWR5S*****

If Tor is restricted in your area, use VPN

Меняет обои Рабочего стола на собственное изображение с текстом. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;

wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола; 
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Programdata\wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:

-A- -R- -C- -R- -Y- -P- -T- -E- -R-

Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR 

MD5: a99e3627afb443440686fcb10491d954 

SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318 

SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8 

Vhash: 07403e0f7d1015z11z41z1dz1011z1fz 

Imphash: ec87726c07cd7d8c71e0d2c74f21ea77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 декабря:

IOC: IA

=== 2025 ===

Вариант от 27 марта 2025: 

Сообщение >>

IOC: VT, IA, TG

MD5: 4b61967fdf02be7687b1490e15b9fd68 

SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729 

SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5 

Vhash: 01503e0f7d1bz4hz1lz 

Imphash: 394560d9c73b5168747c25caeda6ba9f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41633

BitDefender -> Gen:Variant.Lazy.627266

ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ

Malwarebytes -> Ransom.Cloak

TrendMicro  -> TROJ_GEN.R002H09CR25

---

Еще один:

IOC: VT, IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 003a07edaa89b9eea34af223b4f41b49 

SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 

SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 

Vhash: 076056656d156561a3z72z6dnz55z67z 

Imphash: 8375c8ffa7db6351deba403a7b77ea2a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Frag

Frag Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41836
BitDefender -> Gen:Variant.Ulise.539154
ESET-NOD32 -> A Variant Of Win64/Filecoder.QQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dyh
Malwarebytes -> Ransom.Frag
Microsoft -> Program:Win32/Wacapew.C!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1459265c
TrendMicro -> TROJ_GEN.R002H09CK25
---

© Генеалогия: родство выясняется >> Frag 

Сайт "ID Ransomware" идентифицирует Frag с 17 октября 2024 года. 

Информация для идентификации

Активность этого крипто-вымогателя известна с ноября 2024 г., но была замечена и в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .frag

Записка с требованием выкупа называется: _README_.txt

Содержание записки о выкупе:

Frag is here!

If you are a regular employee, manager or system administrator, do not delete/ignore this note or

try to hide the fact that your network has been compromised from your senior management. This

letter is the only way for you to contact us and resolve this incident safely and with minimal loss.

We discovered a number of vulnerabilities in your network that we were able to exploit to

download your data, encrypt the contents of your servers, and delete any backups we could reach.

To find out the full details, get emergency help and regain access to your systems,

All you need is:

1. Tor browser (here is a download link: https://www.torproject.org/download/

2. Use this link to enter the chat room -

xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

3. Enter a code ( PBTWHBE2ZULGRBNJ2NKB30KC64L***** ) to sign in.

4. Now we can help you.

We recommend that you notify your upper management so that they can appoint a responsible

person to handle negotiations. Once we receive a chat message from you, this will mean that we

are authorised to pass on information regarding the incident, as well as disclose the details inside

the chat. From then on, we have 2 weeks to resolve this privately.

We look forward to receiving your messages.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ После использования в атаках Akira Ransomware и Fog Ransomware критическая уязвимость безопасности Veeam Backup & Replication (VBR) недавно также была использована для развертывания Frag Ransomware.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_README_.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 32d07d96b7bf9504a3127d0359cf1af1 

SHA-1: af18edd87d9159362b53349f85b858975919fc56 

SHA-256: 711d5c83655fbf1a139dcaf91db06d158e1958a1edb8e4885b526c137abf5a69 

Vhash: 034056555d15151az32hz2021z2fz 

Imphash: 1c253c2fdb6574e7828dffaa28b935b8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Sean Gallagher (Sophos), Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PlayBoy

PlayBoy Ransomware

PlayBoy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует перейти на сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: PlayBoy LOCKER. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .PLBOY

Записка с требованием выкупа называется: INSTRUCTIONS.txt

Содержание записки о выкупе:

PlayBoy LOCKER

Hi!

Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog

You can buy our decrypt service, to decrypt your files and avoid data leakage.

We are waiting for you here!

URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***

Login Password ***

Заменяет обои Рабочего стола собственным изображением с небольшим текстом.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f33eb2cc612e2c0d369f0d444617f48e 

SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297 

SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b 

Vhash: 045056655d1515616za00881z201bz2011z3fz 

Imphash: 1a0077923e0fb734384e59114b8265a3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kraken 2024-2025

Kraken Ransomware

Kraken 2024-2025 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на серверах бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Kraken, указано на сайте вымогателей. На файле написано: нет данных.

---

В нашем Дайджесте ранее уже были два Ransomware с таким названием, в 2016 и 2018 годах. Нет никаких подтверждений о родстве программы-вымогателя и участия тех же вымогателей. Это значит, что снова некие новые хакеры-вымогатели взяли громкое имя мифологического существа для устрашения пострадавших. 

---
Обнаружения: (нет публичного образца). 
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: нет данных о родстве >> KRAKEN v1.0 (Kraken 2024) > KRAKEN v1.3 (Kraken 2025)

Сайт "ID Ransomware" Kraken 2024-2025 пока не идентифицирует. 

Информация для идентификации

Активность ранней версии этого крипто-вымогателя была в сентябре-октябре 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lock


Записка с требованием выкупа называется: _readme_decrypt_.txt

Содержание записки о выкупе:

Hello dear Admin!

!!! Do not interrupt encryption process, it causes full data loss. !!!

Unfortunately, your files have been encrypted and we taking over 830 GB of your data, financial reports and many other documents.

We can help to recover files and prevent data leak on the darknet.

Contact support using the following methods and decrypt one non-important file for free.

You need to download and install TOR Browser:   https://www.torproject.org/download/

Contact us method below:

Use TOR Browser: hxxx://4boexhifn6bs2tqb2p2oiiculpe2n5fuyadeqb5oxtecljrjxoanv6ad.onion/d12683f9f6375dcc

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_readme_decrypt_.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor: hxxx://4boexhifn6bs2tqb2p2oiiculpe2n5fuyadeqb5oxtecljrjxoanv6ad.onion/d12683f9f6375dcc

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Kraken Ransomware v1.0 - октябрь 2024

Kraken Ransomware v1.3 - октябрь 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 октября 2025:

Сообщение на форуме >>

Цель атаки: сервера ESXi. 

Расширение: .zpsc

Записка: _readme_you_ws_hacked_.txt

➤ Содержание записки: 

Hello dear user!

!!! Do not interrupt encryption process, it causes full data loss. !!!

Unfortunately, your files have been encrypted and we taking over 2 TB of your data, financial reports and many other documents.

We can help to recover files and prevent data leak on the darknet.

Contact support using the following methods and decrypt one non-important file for free.

Contact us method below:

Use TOR Browser: hxxx://rso3zxwxioscqrbvx4ksrroukqkb3dxotwijqoqrfvcobhxrqfgtksad.onion/b3eb54ce5fdb3286c8ac

Новый сайт вымогателей: 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.