Aptlock

Aptlock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует связаться с вымогателями через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41488, Trojan.Encoder.41839
BitDefender -> Trojan.GenericKD.75320998, Gen:Variant.Ser.Lazy.8977
ESET-NOD32 -> A Variant Of Win64/Filecoder.Rook.C
Kaspersky -> Trojan.Win32.DelShad.myk
Microsoft -> Ransom:Win64/Rook.GA!MTB
Rising -> Ransom.Rook!8.14807 (CLOUD), Ransom.Aptlock!1.12A51 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c09085, Malware.Win32.Gencirc.1451f743
TrendMicro -> Ransom_Rook.R032C0DAG25, Ransom_Rook.R002C0DCJ25
---

© Генеалогия: родство выясняется >> Aptlock

Сайт "ID Ransomware" Aptlock пока не идентифицирует. 

Информация для идентификации

Первый образец этого крипто-вымогателя был обнаружен в начале января 2025 года, второй — в марте 2025 г., хотя они оказались одинаковыми по функционалу. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .aptlock

Записка с требованием выкупа называется: read_me_to_access.txt

Содержание записки о выкупе:

Hello

Data at the main critical points of your network has been compromised, and all of your company's critical data has been transferred to our servers.

  Good news:

- We can restore 100% of your systems and data.

- If we agree, only you and our team will know about this breach.

Rules:

1. Contact us within 72 hours, or we’ll release your data and destroy the recovery tool.

2. You have 5 days to reach an agreement, or we’ll publish the data and destroy the recovery tool.

3. Payment is based on data size and revenue.

Now, in order to start negotiations, you need to do the following:

- download the Tor Browser using their official website: https://www.torproject.org/

- use these credentials to enter the Chat for text negotiation: hxxx://pe24iyzo2n5rbvqqnizrec57s2wstqcokf6vxmzfivpxu235fyzeqead.onion/mwc7kMilENMk4j1gDpnLjq9eYRioDj

We all understand what happened and what consequences await you.

You can seek recovery assistance in negotiations, but unfortunately, the percentage of successfully concluded negotiations with recovery assistance decreases every day

because it's your money and your fines. They care little about it.

Our motivation is purely financial; we do not associate ourselves with any country or politics.

What we offer in exchange for your payment:

   1) Decryption and restoration of all your systems and data within 24 hours with a 100% guarantee;

   2) Never inform anyone about the data leak from your company;

   3) After decrypting the data and restoring the system, we will permanently delete all your data from our servers;

   4) Provide valuable advice on protecting your company's IT to prevent future attacks.

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it.

Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.

Nothing personal, just business

Записка с требованием выкупа написана на экране блокировки: 

Содержание текста на изображении:
Вероятно аналогичное тому, что в записке. 



✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки системы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_to_access.txt - название файла с требованием выкупа;
readme.bmp - изображение с текстом записки, заменяющее обои Рабочего стола;

e.exe, ee.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://sr3b2uzrzzubagq64savzjjarul6bacpk6onddobj72gqkdjgm5z4qyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, VMR

MD5: 8040a1a66e9b6cffba01d78b642140ea 

SHA-1: acac5dc3f6140c093e1ebace12f1c8579f8fb3bf 

SHA-256: 5d2597a8a8b8d4d0dfafef02b41d3746bb9a3ccfcacac9a0a8eaec237aa90c1d 

Vhash: 0450766d155515155550a5za00781z23z6035z3031z6fz 

Imphash: d49dc6b823dbc454df9b43c9705cd75d

---

IOC: VT, IA, TG

MD5: e6f28a4f781cacc98ec2e03e684c62da 

SHA-1: 678666316083022c5c8b831f55c6ba52b151b447 

SHA-256: a00021822a02dd5d2fbd348e14902358762378421a6004f26434c4d4aa15fbea 

Vhash: 0450766d155515155550a5za00781z23z6035z3031z6fz 

Imphash: d49dc6b823dbc454df9b43c9705cd75d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Cyfirma, Hyuna Lee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> Ransom.FunkLocker
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" FunkLocker идентифицирует с 30 июля 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Starcat

Starcat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA и ChaCha20, а затем требует выкуп $5000 в XMR, чтобы вернуть файлы. Оригинальное название: Starcat. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41364
BitDefender -> Dump:Generic.Ransom.Spora.01F280B9
ESET-NOD32 -> A Variant Of Win64/Filecoder.RE
Kaspersky -> Trojan.Win32.Agent.xbuthd
Malwarebytes -> Trojan.Dropper
Microsoft -> Ransom:Win64/Filecoder.SWK!MTB
Rising -> Ransom.Filecoder!8.1BA3F (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c081ef
TrendMicro -> Ransom_Filecoder.R002C0DA325
---

© Генеалогия: родство выясняется >> Starcat

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале декабря 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .starcat

Записка с требованием выкупа называется: recover files,view here.txt

Переводы сделаны с помощью Google-переводчика для 13 языков: English, Russian, Chinese, German, Japanese, French, Korean, Portuguese, Thai, Hebrew, Spanish, Italian, Arabic.

Содержание записки о выкупе:

hello, my friend! we have encrypted all your computer files. please do not use antivirus software, otherwise your files will never be recovered. the encryption algorithm uses CHACHA20+RSA4096, and your key is encrypted using RSA16384. in this world, no one can decrypt your files except us. even if you use a supercomputer, you cannot decrypt the files. how to get the files back? you must pay us $5,000 worth of XMR to decrypt your files. you can search for monero virtual currency on google, and then you can see its price and how to trade virtual currency. you only have 7 chances to send us emails, so don't try to bargain with us, it will be bad for you it doesn't help at all, but will only irritate us. if you don't complete the transaction within 7 days, we will delete your key and make all your files public! of course, you can send us 3 files less than 3mb, and we will decrypt them for free. after the decryption is completed, please send the XMR to the address we provide. when sending an email, send us your key and your transaction record together. after we receive your request, we will complete your request within 24 hours. i wish you a happy life!

our email: cos.luise@gmx.com

our XMR address:

48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

your rsa public key:

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
recover files,view here.txt - название файла с требованием выкупа;

star_cat.txt - специальный файл; 
2622375.exe -  название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\star_cat.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
start_cat_encrypt

Сетевые подключения и связи:
Email: cos.luise@gmx.com
XMR: 48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0df6cb830d2f8f248ebb420e0473e40b 

SHA-1: 4f89623b972450fac3b320779672003b06fa5d9f 

SHA-256: 9cc7fd79b16ed36fe78d8b6bc9ea5e99bb1fb48a39d6051c3961bf503fd16a24 

Vhash: 046066655d5565555173z42zaa7z4035z23zd4z1b7z 

Imphash: c5ae3ee6b43d848e2878befd49850f26

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Prince

Prince Ransomware

Prince Ransomware Builder 

Variants: MoonMan, Black (Black Prince), Wenda, UwU, Sprunki, LockBitch, Hunter (CrazyHunter), JustIce 

(шифровальщик-вымогатель, OSR, eduware) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ECIES + ChaCha20, а затем требует написать на email вымоагтелей, чтобы узнать как заплатить выкуп в Shitcoin и вернуть файлы. Оригинальное название: Prince Ransomware с вариантами. На файле написано: Windows.exe или что-то другое. Написан на языке программирования Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41316
BitDefender -> Generic.Ransom.Prince.A.8F27131F
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.Prince
Microsoft -> Ransom:Win64/PrinceRansom.MX!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win64.Trojan-Ransom.Generic.Iajl
TrendMicro -> Ransom_PrinceRansom.R002C0DCE25
---

© Генеалогия: Ransomware Builder «Prince» >> Hunter, HexaLocker, DireWolf

Существует несколько похожих вариантов, сделанных с помощью конструктора программ-вымогателей под названием «Prince Ransomware», который ранее был публично доступен на GitHub. Ссылку давать не будем, чтобы не помогать распространению. 

Скриншот описания размещенного на Github конструктора 

Сайт "ID Ransomware" Prince пока не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в июле - ноябре 2024 г. и продолжилась позже в новых вариантах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .MOONMAN

Записка с требованием выкупа называется: READTHISNOW.txt

Содержание записки о выкупе:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Your files are encrypted by MoonMan/UWU/Sprunki/LockBitch

===UwU ransomware===

bonziWORLD won

trollbox lost

OWOT lost

seamus lost

collabVM lost

pixelplace lost

boofgang lost

DEAL WITH IT

===UwU ransomware===

PSA TO ALL HATERS: BonziGODS won and bonziworld.org is the keyed gem that will save chatting clients

SPRUNKIGODS WON

ALL HEIL THE SPRUNKI REICH

ALL HEIL THE WENDA POOP VIDEOS

ALL HEIL THE BENJI AND SCARLETT

ALL HEIL THE BONZI BUDDY NFTS

ALL HEIL THE TROLLBOX BATTLE RULE34

PCRisk.com ***

PLEASE CONTACT sn33ds3curity@tutanota.com OR vitollebonzi@gmail.com NO DUMPFORUMS/BREACHFORUMS CONTACT SORRY

YOU SHALL FUCKING PAY $1,488 IN SHITCOIN 357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P

SUBSCRIBE TO xxxxs://www.youtube.com/@BonziPOLSKAOfficial

White Power

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Записки от других вариантов:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью инфицированных или специально подготовленных USB-накопителей (флешек), с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

Build.bat, Builder.exe - начальные файлы для создания шифровальшика; 

Prince-Built.exe - готовый файл шифровальщика; 

Decryptor-Built.exe - готовый файл дешифровальщика; 

READTHISNOW.txt - название файла с требованием выкупа одного из вариантов;
Windows.exe - название вредоносного файла в одном из вариантов.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sn33ds3curity@tutanota.com, vitollebonzi@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7ffcd536703e1b316251cbf1047ef5f6 

SHA-1: c9e00a62948da23bf1711dcd92be5923b46e8f06 

SHA-256: 84715cf1d82e5139d39d8aadb9580ba80393dfa0f63fa14974e4f74a3e69752e 

Vhash: 026086655d15551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Prince Ransomware с вариантами - июль-ноябрь 2024
CrazyHunter Ransomware - апрель-май 2025

HexaLocker Ransomware - январь 2025  или раньше

HexaLocker-2 Ransomware - апрель 2025 или раньше

DarkLulz Ransomware - июнь 2025

CyberVolk Ransomware (hackerk4) - вариант июня 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 апреля 2025:

Доп. название: CrazyHunter

CrazyHunter — это новый вариант вымогателя на основе Go, основанный на семействе вредоносных Prince Ransomware с открытым исходным кодом. 

Сообщение >>

Расширение: .Hunted3

Записка: Decryption Instructions.txt

Файл: aic.exe.exe

---

IOC: VT, IA, TG

MD5: 49ab2985ffb5c565ba8e2995ecee21da 

SHA-1: 372ee9d75d2993b7118ccde04da0c46cb8076255 

SHA-256: 9fdb36773e2f48cb0cfdf0c28045d32f847a888a146c2e5b898f940e5f6f244e 

Vhash: 026066655d5d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.42027

BitDefender -> Generic.Ransom.Prince.A.FBE649A3

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.B

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.Prince

Microsoft -> Ransom:Win64/CrazyHunter.YAC!MTB

Rising -> Ransom.Prince!1.12B11 (CLASSIC)

Tencent -> Win64.Trojan-Ransom.Generic.Unkl

TrendMicro -> Ransom_CrazyHunter.R002C0DDE25

Вариант от 22 июня 2025:

Отдельная статья: DarkLulz Ransomware >>

Вариант от 20 июля 2025: 

Самоназвание: JustIce (Just Ice) Ransomware

Сообщение >> https://x.com/siri_urz/status/1947187414310523194

Расширение: .JustIce

Записка: README.txt

Email: dr.sinaway@gmail.com

IOC: VT

MD5: a29a8d4e687229fa181fdae43338da14 

SHA-1: 27e8bd832ab2342f9eb30abc31251b9fd95dd3bd 

SHA-256: ecb88c779301286cd15917c41689afd08da7ffbf4fff932916a0fee092a69959 

Vhash: 026086655d65551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

---

Обнаружения: 

DrWeb -> Trojan.Encoder.42642

BitDefender -> Trojan.GenericKD.76897511

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.JustIce

Microsoft -> Ransom:Win64/PrinceRansom!rfn

Rising -> Ransom.Prince!8.1CBA5 (CLOUD)

TrendMicro -> Ransom_PrinceRansom.R023C0DGM25

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 WithSecure, PCrisk 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.