Doglun

Doglun Ransomware

Doglun Zero Ransomware

D0glun 4.0-6.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (или комбинации алгоритмов), а затем требует связаться через чат на сайте вымогателей в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Doglun. На файле написано: @D0GLUN@.exe, 澪川 (перевод на нагл. "Mio River"), 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41519, Trojan.Encoder.41805
BitDefender -> Trojan.GenericKD.75468564, Application.Generic.3889144

ESET-NOD32 ->Win32/Filecoder.OBT, A Variant Of Win32/Packed.NoobyProtect.G Suspicious
Kaspersky -> Trojan-Ransom.Win32.Encoder.abxc, Trojan-Ransom.Win32.Encoder.abzj
Malwarebytes -> Ransom.FileCryptor, Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Avaddon!rfn, Ransom:MSIL/Cryptolocker!rfn
Rising -> Trojan.Kryptik@AI.94 (RDML:***)
Tencent -> Malware.Win32.Gencirc.10c10c84, Malware.Win32.Gencirc.10c0c153
TrendMicro -> Ransom.Win32.DOGLUN.A
---

© Генеалогия: родство выясняется >> Doglun > Doglun 4.0 > Doglun 6.0

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в середине — конце января 2025 г. Ориентирован на китайских пользователей, использует китайский текст, может распространяться по всему миру. Пока ничего неизвестно о распространении и о более ранних вариантах. 

К зашифрованным файлам добавляется расширение с использованием оригинального расширения зашифрованного файла, но без точки, например: 

.@D0glun@png

.@D0glun@jpg

.@D0glun@bmp

.@D0glun@docx

.@D0glun@xlsx

.@D0glun@exe

Таким образом шаблон можно записать так: .@D0glun@<original_extension>

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола. 

Содержание текста о выкупе:

你的文件已被加密

我的电脑出了什么问题？

您的电脑部分文件被我加密保存了

文件类型有 zip|rar|png|jpg|txt|mp4 等等各种常见文档文件

----------------------------------------------------------

在未解密前，请勿尝试任何杀毒软件，否则我无法保证你的文件安全

-------------------------------------------

我该如何恢复我的重要文件？

-----------------------------

请下载Tor浏览器，在你的右边

然后访问以下地址

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

寻求帮助

这是我的BTC收款地址

1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

Перевод текста на английский язык:

Your files have been encrypted

What's wrong with my computer?

Some of your computer files have been encrypted and saved by me

File types include zip|rar|png|jpg|txt|mp4 and other common document files

----------------------------------------------------------

Before decryption, please do not try any antivirus software, otherwise I cannot guarantee the safety of your files

-------------------------------------------

How can I recover my important files?

-----------------------------

Please download Tor browser, on your right

Then visit the following address

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Ask for help

This is my BTC payment address

1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;

yyy.png - файл изображения, загружаемый онлайн; 

@d0glun2@.bmp, @Main wallpaper.bmp - файлы изображений для замены обоев Рабочего стола; 
@D0GLUN@.exe, D0glun.exe, file.exe, help.exe - названия вредоносных файлов;

1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0.exe - случайное название вредоносного файла;

0nion@Î´¨&.exe - название вредоносного файла;

0nion@¿Î´¨&.txt - файл с информацией; 

1.@d0glun@.key - файл с информацией; 

2.@d0glun@.key - файл с информацией; 

3.@d0glun@.key - файл с информацией; 

4.@d0glun@.key - файл с информацией; 

5.@d0glun@.key - файл с информацией; 

6.@d0glun@.key - файл с информацией; 

7.@d0glun@.key - файл с информацией; 

1.@d0glun@.vbs - файл скрипта;

finances.doc, report.pdf, time 2025Äê1ÔÂ27ÈÕ10ʱ25·Ö48Ãë.txt - другие файлы с информацией; 

2.txt.0nion@¿Î´¨&, 3.zip.0nion@¿Î´¨&, lnk.0nion@¿Î´¨& - другие файлы;

1.bat, Restart.bat, reg.reg - другие файлы;

zero.ico - файл иконки для диска; 

@D0GLUN@.KEY.VBS - файл скрипта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\@D0GLUN@.exe

C:\@Main wallpaper.bmp

C:\@d0glun2@.bmp

C:\Users\user\Desktop\file.exe

xxxx://www.pcbug.top/yyy.png

C:\@Main wallpaper.bmp.@d0glun@bmp

C:\Windows\1.bat

C:\Windows\reg.reg

C:\zero.ico

Записи реестра, связанные с этим Ransomware:

[HKEY_CLASSES_ROOT\zero_d0glun_jpgfile\DefaultIcon]

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

[HKEY_CLASSES_ROOT\rtffile\DefaultIcon]

[HKEY_CLASSES_ROOT\logfile\DefaultIcon]

[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Email: -
BTC: 1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 845cb027c57783112416a2a32dc87f58 

SHA-1: 44b0add34a5d97cbac2c3a4bc664027af7351ea4 

SHA-256: a8df7571e871d22f13ba3eb376eddd1f73ce241d24caa878494e1805219b342a 

Vhash: 02608e7d6d7d6e7d1d1570602040052008d015z303013z32z9e1za110c7z 

Imphash: 3de460cda2ce2e0b4a9b391562b936c9

---

IOC: VT, HA, IA, TG, AR 

MD5: ea128897b942f50524dee89eaa28602e 

SHA-1: 60b79bfdc7e8ff357a95ce0e5d18d7e69ecefedb 

SHA-256: 1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0 

Vhash: 03605f7e7d1d1570101011z11z1015z101013z13z11z101017z 

Imphash: c62b27424960b7afa2f377b70e536277

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Doglun Ransomware - ???

Doglun 4.0 Ransomware - январь 2025

Doglun 6.0 Ransomware - март 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще один вариант:

Используется шаблон расширения: .@zero_d0glun_<original extension>

Вариант от 12 марта 2025:

Доп. название: D0glun 6.0 Ransomware 

Сообщение >>

C:\Users\Admin\AppData\Local\Temp\Restart.bat

C:\Users\Admin\AppData\Local\Temp\D0GLUN6.0.exe

IOC: VT, IA, TG

MD5: ae7fd46e6ad1b9c11b5d3701ad4509ee 

SHA-1: 37a8c7d8eb861e66dae529d45975b36afc3650dc 

SHA-256: f3f196b264ce23a490f1b8c20176e01027fc735210c13c30e442b2d41a4e5b57 

Vhash: 036046657d5510502040052008d7z3035z32z9e1za110c7z 

Imphash: bb01e2c758bce96ca6e813a4ba1a6db4

➤ Обнаружения: 

DrWeb -> ***

ESET-NOD32 -> A Variant Of Win32/Filecoder.OST

Kaspersky -> HEUR:Trojan.Win32.Ogneglazka.gen

Microsoft -> Ransom:Win32/Avaddon.P!MSR

TrendMicro -> Backdoor.Win32.COBEACON.YXFCLZ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up,  Write-up

 Thanks: 
 dnwls0719, Hyuna Lee, Watchguard, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Starcat

Starcat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA и ChaCha20, а затем требует выкуп $5000 в XMR, чтобы вернуть файлы. Оригинальное название: Starcat. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41364
BitDefender -> Dump:Generic.Ransom.Spora.01F280B9
ESET-NOD32 -> A Variant Of Win64/Filecoder.RE
Kaspersky -> Trojan.Win32.Agent.xbuthd
Malwarebytes -> Trojan.Dropper
Microsoft -> Ransom:Win64/Filecoder.SWK!MTB
Rising -> Ransom.Filecoder!8.1BA3F (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c081ef
TrendMicro -> Ransom_Filecoder.R002C0DA325
---

© Генеалогия: родство выясняется >> Starcat

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале декабря 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .starcat

Записка с требованием выкупа называется: recover files,view here.txt

Переводы сделаны с помощью Google-переводчика для 13 языков: English, Russian, Chinese, German, Japanese, French, Korean, Portuguese, Thai, Hebrew, Spanish, Italian, Arabic.

Содержание записки о выкупе:

hello, my friend! we have encrypted all your computer files. please do not use antivirus software, otherwise your files will never be recovered. the encryption algorithm uses CHACHA20+RSA4096, and your key is encrypted using RSA16384. in this world, no one can decrypt your files except us. even if you use a supercomputer, you cannot decrypt the files. how to get the files back? you must pay us $5,000 worth of XMR to decrypt your files. you can search for monero virtual currency on google, and then you can see its price and how to trade virtual currency. you only have 7 chances to send us emails, so don't try to bargain with us, it will be bad for you it doesn't help at all, but will only irritate us. if you don't complete the transaction within 7 days, we will delete your key and make all your files public! of course, you can send us 3 files less than 3mb, and we will decrypt them for free. after the decryption is completed, please send the XMR to the address we provide. when sending an email, send us your key and your transaction record together. after we receive your request, we will complete your request within 24 hours. i wish you a happy life!

our email: cos.luise@gmx.com

our XMR address:

48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

your rsa public key:

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
recover files,view here.txt - название файла с требованием выкупа;

star_cat.txt - специальный файл; 
2622375.exe -  название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\star_cat.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
start_cat_encrypt

Сетевые подключения и связи:
Email: cos.luise@gmx.com
XMR: 48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0df6cb830d2f8f248ebb420e0473e40b 

SHA-1: 4f89623b972450fac3b320779672003b06fa5d9f 

SHA-256: 9cc7fd79b16ed36fe78d8b6bc9ea5e99bb1fb48a39d6051c3961bf503fd16a24 

Vhash: 046066655d5565555173z42zaa7z4035z23zd4z1b7z 

Imphash: c5ae3ee6b43d848e2878befd49850f26

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 003a07edaa89b9eea34af223b4f41b49 

SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 

SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 

Vhash: 076056656d156561a3z72z6dnz55z67z 

Imphash: 8375c8ffa7db6351deba403a7b77ea2a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.