Prince

Prince Ransomware

Prince Ransomware Builder 

Variants: MoonMan, Black (Black Prince), Wenda, UwU, Sprunki, LockBitch, Hunter (CrazyHunter), JustIce 

(шифровальщик-вымогатель, OSR, eduware) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ECIES + ChaCha20, а затем требует написать на email вымоагтелей, чтобы узнать как заплатить выкуп в Shitcoin и вернуть файлы. Оригинальное название: Prince Ransomware с вариантами. На файле написано: Windows.exe или что-то другое. Написан на языке программирования Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41316
BitDefender -> Generic.Ransom.Prince.A.8F27131F
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.Prince
Microsoft -> Ransom:Win64/PrinceRansom.MX!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win64.Trojan-Ransom.Generic.Iajl
TrendMicro -> Ransom_PrinceRansom.R002C0DCE25
---

© Генеалогия: Ransomware Builder «Prince» >> Hunter, HexaLocker, DireWolf

Существует несколько похожих вариантов, сделанных с помощью конструктора программ-вымогателей под названием «Prince Ransomware», который ранее был публично доступен на GitHub. Ссылку давать не будем, чтобы не помогать распространению. 

Скриншот описания размещенного на Github конструктора 

Сайт "ID Ransomware" Prince пока не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в июле - ноябре 2024 г. и продолжилась позже в новых вариантах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .MOONMAN

Записка с требованием выкупа называется: READTHISNOW.txt

Содержание записки о выкупе:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Your files are encrypted by MoonMan/UWU/Sprunki/LockBitch

===UwU ransomware===

bonziWORLD won

trollbox lost

OWOT lost

seamus lost

collabVM lost

pixelplace lost

boofgang lost

DEAL WITH IT

===UwU ransomware===

PSA TO ALL HATERS: BonziGODS won and bonziworld.org is the keyed gem that will save chatting clients

SPRUNKIGODS WON

ALL HEIL THE SPRUNKI REICH

ALL HEIL THE WENDA POOP VIDEOS

ALL HEIL THE BENJI AND SCARLETT

ALL HEIL THE BONZI BUDDY NFTS

ALL HEIL THE TROLLBOX BATTLE RULE34

PCRisk.com ***

PLEASE CONTACT sn33ds3curity@tutanota.com OR vitollebonzi@gmail.com NO DUMPFORUMS/BREACHFORUMS CONTACT SORRY

YOU SHALL FUCKING PAY $1,488 IN SHITCOIN 357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P

SUBSCRIBE TO xxxxs://www.youtube.com/@BonziPOLSKAOfficial

White Power

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Записки от других вариантов:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью инфицированных или специально подготовленных USB-накопителей (флешек), с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

Build.bat, Builder.exe - начальные файлы для создания шифровальшика; 

Prince-Built.exe - готовый файл шифровальщика; 

Decryptor-Built.exe - готовый файл дешифровальщика; 

READTHISNOW.txt - название файла с требованием выкупа одного из вариантов;
Windows.exe - название вредоносного файла в одном из вариантов.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sn33ds3curity@tutanota.com, vitollebonzi@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7ffcd536703e1b316251cbf1047ef5f6 

SHA-1: c9e00a62948da23bf1711dcd92be5923b46e8f06 

SHA-256: 84715cf1d82e5139d39d8aadb9580ba80393dfa0f63fa14974e4f74a3e69752e 

Vhash: 026086655d15551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Prince Ransomware с вариантами - июль-ноябрь 2024
CrazyHunter Ransomware - апрель-май 2025

HexaLocker Ransomware - январь 2025  или раньше

HexaLocker-2 Ransomware - апрель 2025 или раньше

DarkLulz Ransomware - июнь 2025

CyberVolk Ransomware (hackerk4) - вариант июня 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 апреля 2025:

Доп. название: CrazyHunter

CrazyHunter — это новый вариант вымогателя на основе Go, основанный на семействе вредоносных Prince Ransomware с открытым исходным кодом. 

Сообщение >>

Расширение: .Hunted3

Записка: Decryption Instructions.txt

Файл: aic.exe.exe

---

IOC: VT, IA, TG

MD5: 49ab2985ffb5c565ba8e2995ecee21da 

SHA-1: 372ee9d75d2993b7118ccde04da0c46cb8076255 

SHA-256: 9fdb36773e2f48cb0cfdf0c28045d32f847a888a146c2e5b898f940e5f6f244e 

Vhash: 026066655d5d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.42027

BitDefender -> Generic.Ransom.Prince.A.FBE649A3

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.B

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.Prince

Microsoft -> Ransom:Win64/CrazyHunter.YAC!MTB

Rising -> Ransom.Prince!1.12B11 (CLASSIC)

Tencent -> Win64.Trojan-Ransom.Generic.Unkl

TrendMicro -> Ransom_CrazyHunter.R002C0DDE25

Вариант от 22 июня 2025:

Отдельная статья: DarkLulz Ransomware >>

Вариант от 20 июля 2025: 

Самоназвание: JustIce (Just Ice) Ransomware

Сообщение >> https://x.com/siri_urz/status/1947187414310523194

Расширение: .JustIce

Записка: README.txt

Email: dr.sinaway@gmail.com

IOC: VT

MD5: a29a8d4e687229fa181fdae43338da14 

SHA-1: 27e8bd832ab2342f9eb30abc31251b9fd95dd3bd 

SHA-256: ecb88c779301286cd15917c41689afd08da7ffbf4fff932916a0fee092a69959 

Vhash: 026086655d65551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

---

Обнаружения: 

DrWeb -> Trojan.Encoder.42642

BitDefender -> Trojan.GenericKD.76897511

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.JustIce

Microsoft -> Ransom:Win64/PrinceRansom!rfn

Rising -> Ransom.Prince!8.1CBA5 (CLOUD)

TrendMicro -> Ransom_PrinceRansom.R023C0DGM25

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 WithSecure, PCrisk 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cloak

Cloak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов шифрования, используемых в ARCrypt, а затем требует написать в чат на сайте вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---

© Генеалогия: ✂ Babuk + другой код >> Cloak

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crYpt

Записка с требованием выкупа называется: readme_for-unlock.txt

Содержание записки о выкупе:

!!! ATTENTION !!!

Your network is hacked and files are encrypted.

Including the encrypted data we also downloaded other confidential information:

Data of your employees, customers, partners, as well as accounting and

other internal documentation of your company.

All data is stored until you will pay.

After payment we will provide you the programs for decryption and we will delete your data.

If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:

1) The personal information of your employees and customers may be used to obtain a loan or

purchases in online stores.

2) You may be sued by clients of your company for leaking information that was confidential.

3) After other hackers obtain personal data about your employees, social engineering will be

applied to your company and subsequent attacks will only intensify.

4) Bank details and passports can be used to create bank accounts and online wallets through

which criminal money will be laundered.

5) You will forever lose the reputation.

6) You will be subject to huge fines from the government.

You can learn more about liability for data loss here:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://gdpr-info.eu/

Courts, fines and the inability to use important files will lead you to huge losses.

The consequences of this will be irreversible for you.

Contacting the police will not save you from these consequences,

but will only make your situation worse.

You can get out of this situation with minimal losses

To do this you must strictly observe the following rules:

DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.

Such actions may DAMAGE them and decryption will be impossible.

DO NOT use any third party or public decryption software, it may also DAMAGE files.

DO NOT Shutdown or Reboot the system this may DAMAGE files.

DO NOT hire any third party negotiators (recovery/police, etc.)

You need to contact us as soon as possible and start negotiations.

Instructions for contacting our team:

Download & Install TOR browser: https://torproject.org

For contact us via LIVE CHAT open our

> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

> Login: CLIENT

> Password: D01EuXJTiTnWR5S*****

If Tor is restricted in your area, use VPN

Меняет обои Рабочего стола на собственное изображение с текстом. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;

wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола; 
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Programdata\wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:

-A- -R- -C- -R- -Y- -P- -T- -E- -R-

Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR 

MD5: a99e3627afb443440686fcb10491d954 

SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318 

SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8 

Vhash: 07403e0f7d1015z11z41z1dz1011z1fz 

Imphash: ec87726c07cd7d8c71e0d2c74f21ea77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 декабря:

IOC: IA

=== 2025 ===

Вариант от 27 марта 2025: 

Сообщение >>

IOC: VT, IA, TG

MD5: 4b61967fdf02be7687b1490e15b9fd68 

SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729 

SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5 

Vhash: 01503e0f7d1bz4hz1lz 

Imphash: 394560d9c73b5168747c25caeda6ba9f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41633

BitDefender -> Gen:Variant.Lazy.627266

ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ

Malwarebytes -> Ransom.Cloak

TrendMicro  -> TROJ_GEN.R002H09CR25

---

Еще один:

IOC: VT, IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 003a07edaa89b9eea34af223b4f41b49 

SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 

SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 

Vhash: 076056656d156561a3z72z6dnz55z67z 

Imphash: 8375c8ffa7db6351deba403a7b77ea2a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Frag

Frag Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41836
BitDefender -> Gen:Variant.Ulise.539154
ESET-NOD32 -> A Variant Of Win64/Filecoder.QQ
Kaspersky -> Trojan-Ransom.Win64.Agent.dyh
Malwarebytes -> Ransom.Frag
Microsoft -> Program:Win32/Wacapew.C!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1459265c
TrendMicro -> TROJ_GEN.R002H09CK25
---

© Генеалогия: родство выясняется >> Frag 

Сайт "ID Ransomware" идентифицирует Frag с 17 октября 2024 года. 

Информация для идентификации

Активность этого крипто-вымогателя известна с ноября 2024 г., но была замечена и в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .frag

Записка с требованием выкупа называется: _README_.txt

Содержание записки о выкупе:

Frag is here!

If you are a regular employee, manager or system administrator, do not delete/ignore this note or

try to hide the fact that your network has been compromised from your senior management. This

letter is the only way for you to contact us and resolve this incident safely and with minimal loss.

We discovered a number of vulnerabilities in your network that we were able to exploit to

download your data, encrypt the contents of your servers, and delete any backups we could reach.

To find out the full details, get emergency help and regain access to your systems,

All you need is:

1. Tor browser (here is a download link: https://www.torproject.org/download/

2. Use this link to enter the chat room -

xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

3. Enter a code ( PBTWHBE2ZULGRBNJ2NKB30KC64L***** ) to sign in.

4. Now we can help you.

We recommend that you notify your upper management so that they can appoint a responsible

person to handle negotiations. Once we receive a chat message from you, this will mean that we

are authorised to pass on information regarding the incident, as well as disclose the details inside

the chat. From then on, we have 2 weeks to resolve this privately.

We look forward to receiving your messages.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ После использования в атаках Akira Ransomware и Fog Ransomware критическая уязвимость безопасности Veeam Backup & Replication (VBR) недавно также была использована для развертывания Frag Ransomware.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_README_.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xhvzsaxl3vbio6dg547envq5xgap3pwobtursdvwatdoxextv43kb7id.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 32d07d96b7bf9504a3127d0359cf1af1 

SHA-1: af18edd87d9159362b53349f85b858975919fc56 

SHA-256: 711d5c83655fbf1a139dcaf91db06d158e1958a1edb8e4885b526c137abf5a69 

Vhash: 034056555d15151az32hz2021z2fz 

Imphash: 1c253c2fdb6574e7828dffaa28b935b8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Sean Gallagher (Sophos), Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PlayBoy

PlayBoy Ransomware

PlayBoy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует перейти на сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: PlayBoy LOCKER. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .PLBOY

Записка с требованием выкупа называется: INSTRUCTIONS.txt

Содержание записки о выкупе:

PlayBoy LOCKER

Hi!

Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog

You can buy our decrypt service, to decrypt your files and avoid data leakage.

We are waiting for you here!

URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***

Login Password ***

Заменяет обои Рабочего стола собственным изображением с небольшим текстом.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f33eb2cc612e2c0d369f0d444617f48e 

SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297 

SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b 

Vhash: 045056655d1515616za00881z201bz2011z3fz 

Imphash: 1a0077923e0fb734384e59114b8265a3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.