FXLocker

FXLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.6X BTC, чтобы вернуть файлы. Оригинальное название: FXLocker. На файле написано: sample.exe. Написан на языке программирования Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***

Symantec -> Infostealer
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl

TrendMicro -> TROJ_GEN.R002H09BJ25
---

© Генеалогия: родство выясняется >> FXLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

[NOTICE]

Your system has been encrypted by FXLocker.

Please follow the payment instructions to recover your files.

[INSTRUCTIONS]

1. Payment amount: 0.69135 BTC

2. Bitcoin Address: 1FxABAd2

3. Payment Deadline: 2025-02-10

Contact Support with your Reference ID to obtain the decryption keys.

[INFORMATION]

Reference ID: F5XCCBUPRKGJ0***

[WARNINGS]

- Do not rename encrypted files; this can prevent decryption.

- Failing to complete payment within the deadline may lead to permanent data loss.

- Failing to complete payment within the deadline may lead to permanent data loss.

[CONTACT SUPPORT]

haxcn@proton.me, wikicn@proton.me

[NOTICE]

You have until 2025-02-10 to complete the payment. Failure to comply will result in the permanent loss of your files.

***

Перевод записки на русский язык:

[УВЕДОМЛЕНИЕ]

Ваша система зашифрована FXLocker.

Следуйте инструкциям по оплате, чтобы восстановить файлы.

[ИНСТРУКЦИИ]

1. Сумма платежа: 0.69135 BTC

2. Адрес Bitcoin: 1FxABAd2

3. Крайний срок оплаты: 2025-02-10

Свяжитесь со службой поддержки, указав свой Reference ID, чтобы получить ключи расшифровки.

[ИНФОРМАЦИЯ]

Идентификатор ссылки: F5XCCBUPRKGJ0***

[ПРЕДУПРЕЖДЕНИЯ]

- Не переименовывайте зашифрованные файлы; это может помешать расшифровке.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

[СВЯЖИТЕСЬ СО СЛУЖБОЙ ПОДДЕРЖКИ]

haxcn@proton.me, wikicn@proton.me

[УВЕДОМЛЕНИЕ]

У вас есть время до 2025-02-10, чтобы завершить платеж. Несоблюдение приведет к безвозвратной потере ваших файлов.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла или случайное. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG 

MD5: d8889f10a8a0dda44817a2bfbd0ca237 

SHA-1: 8b7672496f45432a48b8d307e08855ca9e40da7b 

SHA-256: 1c716742fa1712562e2d6275a68a8d2e73bd910bff417072259bb164f2628863 

Vhash: 027066655d1555755048z6bnzefz 

Imphash: a06f302f71edd380da3d5bf4a6d94ebd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Moscovium

Moscovium Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Moscovium Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41617
BitDefender -> Trojan.GenericKD.75733035
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BII
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Zchl
TrendMicro -> TROJ_GEN.R023H09B725
---

© Генеалогия: BlackHeart NextGen: BlackDream, BlackLegion и другие  >> Moscovium

Сайт "ID Ransomware" Moscovium пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .m0sC0v1um

Записка с требованием выкупа называется: !!!_DECRYPT_INSTRUCTIONS_!!!.txt

Содержание записки о выкупе:

== YOUR FILES ARE ENCRYPTED ==

Send 0.1 BTC to: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

Email proof to: m0sc0vlum@tutanota.com

== DO NOT ATTEMPT DECRYPTION YOURSELF ==|

Дополнительно к каждому зашифрованному файлу создается текстовый файл, к имени которого добавляется окончание _KEY.txt

Содержание этого файла: 

MOSCOVIUM RANSOMWARE

Send 0.1 BTC to bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g to recover files

Key: UBhyqXCuU0hLEy8LCrbUsoBEbF9d9cpxtEL7vCIq+eE=

IV: 0J4hJwyAylQyPeZXC6b7Tg==

Рабочий стол блокируется, поверх всего встает экран с надписью: 

YOUR FILES HAVE BEEN ENCRYPTED BY MOSCOVIUM RANSOMWARE

CHECK DESKTOP FOR RECOVERY INSTRUCTIONS

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_DECRYPT_INSTRUCTIONS_!!!.txt - название файла с требованием выкупа;

31ff48d218e462b4c1f3de03.exe - случайное название вредоносного файла; 
main.exe, hxtya.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\vrijbel\hxtya.exe

C:\Users\User\AppData\Local\Temp\31ff48d218e462b4c1f3de03.exe

Информация из кода программы-вымогателя: 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0sc0v1um@tutanota.com
BTC: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9c30c4744d7d505f5f9a24b6b4c9bebb 

SHA-1: a71f4144b6f0a5edffc933e6dd08782cd60e0dc3 

SHA-256: 31ff48d218e462b4c1f3de03778c60b99bd1ef0d03a974070abb056138a1754b 

Vhash: 2630365515171z5a0010 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SuperBlack

SuperBlack Ransomware

SuperBlack Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через Tox-чат с вымогателями, чтобы узнать, как заплатить выкуп и расшифровать файлы. Оригинальное название, видимо, SuperBlack. На файле написано: нет данных. Также используется вайпер WipeBlack. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31074
BitDefender -> Trojan.GenericKDZ.107474
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Lockbit.Ransom.FileEncryptor.DDS
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
---

© Генеалогия: BlackMatter >> LockBit 3.0 Black (2022) >> CriptomanGizmo > SuperBlack

Сайт "ID Ransomware" может идентифицировать SuperBlack как один из предыдущих вариантов. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2025 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: fB1SZ2i3X.README.txt
Первая часть названия может меняться. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:

- Employees personal data, CVs, DL, SSN.

- Complete network map including credentials for local and remote services.

- Financial information including clients data, bills, budgets, annual reports, bank statements.

- Complete datagrams/schemas/drawings for manufacturing in solidworks format

- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B751D3B2C**********

1)Download and install TOX chat: https://tox.chat

2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.

>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.

>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.

>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

Зашифрованные файлы получают новый характерный значок, обои Рабочего стола заменяются.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fB1SZ2i3X.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: e09dd7cca0c6c147ba21b4062e723c5b 

SHA-1: ff6333bdda824e4c13bcd13351bd4bb14aaeab11 

SHA-256: d9938ac4346d03a07f8ce8b57436e75ba5e936372b9bfd0386f18f6d56902c88 

Vhash: 01506666151d7d7567za1z8nz7fz 

Imphash: 914685b69f2ac2ff61b6b0f1883a054d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Doglun

Doglun Ransomware

Doglun Zero Ransomware

D0glun 4.0-6.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-256 (или комбинации алгоритмов), а затем требует связаться через чат на сайте вымогателей в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Doglun. На файле написано: @D0GLUN@.exe, 澪川 (перевод на нагл. "Mio River"), 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41519, Trojan.Encoder.41805
BitDefender -> Trojan.GenericKD.75468564, Application.Generic.3889144

ESET-NOD32 ->Win32/Filecoder.OBT, A Variant Of Win32/Packed.NoobyProtect.G Suspicious
Kaspersky -> Trojan-Ransom.Win32.Encoder.abxc, Trojan-Ransom.Win32.Encoder.abzj
Malwarebytes -> Ransom.FileCryptor, Generic.Malware.AI.DDS
Microsoft -> Ransom:Win32/Avaddon!rfn, Ransom:MSIL/Cryptolocker!rfn
Rising -> Trojan.Kryptik@AI.94 (RDML:***)
Tencent -> Malware.Win32.Gencirc.10c10c84, Malware.Win32.Gencirc.10c0c153
TrendMicro -> Ransom.Win32.DOGLUN.A
---

© Генеалогия: родство выясняется >> Doglun > Doglun 4.0 > Doglun 6.0

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в середине — конце января 2025 г. Ориентирован на китайских пользователей, использует китайский текст, может распространяться по всему миру. Пока ничего неизвестно о распространении и о более ранних вариантах. 

К зашифрованным файлам добавляется расширение с использованием оригинального расширения зашифрованного файла, но без точки, например: 

.@D0glun@png

.@D0glun@jpg

.@D0glun@bmp

.@D0glun@docx

.@D0glun@xlsx

.@D0glun@exe

Таким образом шаблон можно записать так: .@D0glun@<original_extension>

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола. 

Содержание текста о выкупе:

你的文件已被加密

我的电脑出了什么问题？

您的电脑部分文件被我加密保存了

文件类型有 zip|rar|png|jpg|txt|mp4 等等各种常见文档文件

----------------------------------------------------------

在未解密前，请勿尝试任何杀毒软件，否则我无法保证你的文件安全

-------------------------------------------

我该如何恢复我的重要文件？

-----------------------------

请下载Tor浏览器，在你的右边

然后访问以下地址

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

寻求帮助

这是我的BTC收款地址

1MJJVws3HccTGd14CV3qX21G7gzcJj77UH

Перевод текста на английский язык:

Your files have been encrypted

What's wrong with my computer?

Some of your computer files have been encrypted and saved by me

File types include zip|rar|png|jpg|txt|mp4 and other common document files

----------------------------------------------------------

Before decryption, please do not try any antivirus software, otherwise I cannot guarantee the safety of your files

-------------------------------------------

How can I recover my important files?

-----------------------------

Please download Tor browser, on your right

Then visit the following address

33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Ask for help

This is my BTC payment address

1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

Записка с требованием выкупа также написана на экране блокировки. Текст примерно соответствует переведенному выше, потому дублировать нет смысла. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
notes.txt - название файла с требованием выкупа;

yyy.png - файл изображения, загружаемый онлайн; 

@d0glun2@.bmp, @Main wallpaper.bmp - файлы изображений для замены обоев Рабочего стола; 
@D0GLUN@.exe, D0glun.exe, file.exe, help.exe - названия вредоносных файлов;

1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0.exe - случайное название вредоносного файла;

0nion@Î´¨&.exe - название вредоносного файла;

0nion@¿Î´¨&.txt - файл с информацией; 

1.@d0glun@.key - файл с информацией; 

2.@d0glun@.key - файл с информацией; 

3.@d0glun@.key - файл с информацией; 

4.@d0glun@.key - файл с информацией; 

5.@d0glun@.key - файл с информацией; 

6.@d0glun@.key - файл с информацией; 

7.@d0glun@.key - файл с информацией; 

1.@d0glun@.vbs - файл скрипта;

finances.doc, report.pdf, time 2025Äê1ÔÂ27ÈÕ10ʱ25·Ö48Ãë.txt - другие файлы с информацией; 

2.txt.0nion@¿Î´¨&, 3.zip.0nion@¿Î´¨&, lnk.0nion@¿Î´¨& - другие файлы;

1.bat, Restart.bat, reg.reg - другие файлы;

zero.ico - файл иконки для диска; 

@D0GLUN@.KEY.VBS - файл скрипта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\@D0GLUN@.exe

C:\@Main wallpaper.bmp

C:\@d0glun2@.bmp

C:\Users\user\Desktop\file.exe

xxxx://www.pcbug.top/yyy.png

C:\@Main wallpaper.bmp.@d0glun@bmp

C:\Windows\1.bat

C:\Windows\reg.reg

C:\zero.ico

Записи реестра, связанные с этим Ransomware:

[HKEY_CLASSES_ROOT\zero_d0glun_jpgfile\DefaultIcon]

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

[HKEY_CLASSES_ROOT\rtffile\DefaultIcon]

[HKEY_CLASSES_ROOT\logfile\DefaultIcon]

[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://33333333h45xwqlf3s3eu4bkd6y6bjswva75ys7j6satex5ctf4pyfad.onion

Email: -
BTC: 1M7JVws3HccTGd14CV3qX21G7gzcJj77UH

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 845cb027c57783112416a2a32dc87f58 

SHA-1: 44b0add34a5d97cbac2c3a4bc664027af7351ea4 

SHA-256: a8df7571e871d22f13ba3eb376eddd1f73ce241d24caa878494e1805219b342a 

Vhash: 02608e7d6d7d6e7d1d1570602040052008d015z303013z32z9e1za110c7z 

Imphash: 3de460cda2ce2e0b4a9b391562b936c9

---

IOC: VT, HA, IA, TG, AR 

MD5: ea128897b942f50524dee89eaa28602e 

SHA-1: 60b79bfdc7e8ff357a95ce0e5d18d7e69ecefedb 

SHA-256: 1f7e3eed1b7c423c8d00cc0ae76d4eba6cd98bd7cd12c81e9468414c13dd31e0 

Vhash: 03605f7e7d1d1570101011z11z1015z101013z13z11z101017z 

Imphash: c62b27424960b7afa2f377b70e536277

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Doglun Ransomware - ???

Doglun 4.0 Ransomware - январь 2025

Doglun 6.0 Ransomware - март 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще один вариант:

Используется шаблон расширения: .@zero_d0glun_<original extension>

Вариант от 12 марта 2025:

Доп. название: D0glun 6.0 Ransomware 

Сообщение >>

C:\Users\Admin\AppData\Local\Temp\Restart.bat

C:\Users\Admin\AppData\Local\Temp\D0GLUN6.0.exe

IOC: VT, IA, TG

MD5: ae7fd46e6ad1b9c11b5d3701ad4509ee 

SHA-1: 37a8c7d8eb861e66dae529d45975b36afc3650dc 

SHA-256: f3f196b264ce23a490f1b8c20176e01027fc735210c13c30e442b2d41a4e5b57 

Vhash: 036046657d5510502040052008d7z3035z32z9e1za110c7z 

Imphash: bb01e2c758bce96ca6e813a4ba1a6db4

➤ Обнаружения: 

DrWeb -> ***

ESET-NOD32 -> A Variant Of Win32/Filecoder.OST

Kaspersky -> HEUR:Trojan.Win32.Ogneglazka.gen

Microsoft -> Ransom:Win32/Avaddon.P!MSR

TrendMicro -> Backdoor.Win32.COBEACON.YXFCLZ

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up,  Write-up

 Thanks: 
 dnwls0719, Hyuna Lee, Watchguard, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.