NailaoLocker

NailaoLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  алгоритма AES-256-CTR, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, NailaoLocker дано исследователями. На файле написано: нет данных. Согласно данным исследователей из Orange, написан на C++, относительно прост и плохо спроектирован.

---
Обнаружения (файл не предоставлен):
DrWeb -> ***
BitDefender -> Gen:Variant.Cerbu.251658
ESET-NOD32 -> A Variant Of Win64/Filecoder.SZ
Kaspersky -> Trojan-Ransom.Win64.Agent.dxf
Malwarebytes -> Malware.AI.4284765157
Microsoft -> Trojan:Win32/Wacatac.A!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> SONAR.RansomNailo!g1, Trojan Horse
Tencent -> Malware.Win32.Gencirc.10c0e368
TrendMicro -> TROJ_GEN.R023H0CBI25
---

© Генеалогия: родство выясняется >> NailaoLocker

Сайт "ID Ransomware" NailaoLocker идентифицирует с 7 августа 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в атаках на европейские организации здравоохранения в период с июня по октябрь 2024 года и продолжилась в начале 2025 г., т. к. вредоносная кампания нацелена на более широкую группу организаций по всему миру в различных секторах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: 
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html

Содержание записки о выкупе:
см. на изображении. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Атаки использовали уязвимость Check Point Security Gateway CVE-2024-24919 для получения доступа к целевым сетям и развертывания вредоносных программ ShadowPad и PlugX — двух семейств, тесно связанных с китайскими государственными группами угроз.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Особенности NailaoLocker

➤ NailaoLocker не завершает процессы безопасности или запущенные службы, отсутствуют механизмы противодействия отладке и обхода "песочницы", а также не сканирует сетевые ресурсы.

Вредонос NailaoLocker внедряется в целевые системы посредством загрузки DLL (sensapi.dll) с использованием легитимного и подписанного исполняемого файла (usysdiag.exe). Загрузчик вредоносного ПО (NailaoLoader) проверяет среду, выполняя проверки адресов памяти, а затем расшифровывает основную полезную нагрузку (usysdiag.exe.dat) и загружает ее в память.

Затем злоумышленники провели сетевую разведку и горизонтальное перемещение в основном через RDP, пытаясь получить дополнительные привилегии. Было замечено, что злоумышленники вручную запускали легитимный двоичный файл logger.exe для загрузки вредоносной DLL logexts.dll. При запуске DLL копирует смежную зашифрованную полезную нагрузку (например, 0EEBB9B4.tmp) в раздел реестра Windows (при этом имя этого раздела связано с серийным номером тома системного диска).

Затем вредоносная нагрузка 0EEBB9B4.tmp удаляется злоумышленниками и в конечном итоге извлекается DLL из раздела реестра и внедряется в другой процесс. Наконец, создается служба или задача запуска для запуска logger.exe и поддержания устойчивости системы. 

После анализа исследователи смогли связать 0EEBB9B4.tmp с новой версией печально известного вредоносного ПО ShadowPad (при этом DLL выступает в качестве его загрузчика).

➤ NailaoLocker сначала проверяет, загружен ли sensapi.dll, затем удаляет его из памяти и с диска. Затем создает мьютекс Global\lockv7.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html - название файла с требованием выкупа;
unlock_please_view_this_file.html - название другого файла с требованием выкупа;

usysdiag.exe - легитимный файл, подписанный Beijing Huorong Network Technology Co., Ltd;

sensapi.dll - встроенный загрузчик;

usysdiag.exe.dat - обфусцированный файл NailaoLocker Ransomware.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\lockv7

Сетевые подключения и связи:
Email: johncollinsy@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 693b6237d77c206fe4d08f56f4fae293 

SHA-1: ba9beba6a9f02cea40a2ac0c37c76bfc204b3839 

SHA-256: e0d89af13acb3e3433f6923f09d4a1586815afbb6b6a01ae32da74dc81f43a99 

Vhash: 026056655d55655093z42z85nz34z1b7z 

Imphash: 4446805133cfda8429ed7a1eb37f297e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Orange Cyberdefense, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FXLocker

FXLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.6X BTC, чтобы вернуть файлы. Оригинальное название: FXLocker. На файле написано: sample.exe. Написан на языке программирования Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***

Symantec -> Infostealer
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl

TrendMicro -> TROJ_GEN.R002H09BJ25
---

© Генеалогия: родство выясняется >> FXLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

[NOTICE]

Your system has been encrypted by FXLocker.

Please follow the payment instructions to recover your files.

[INSTRUCTIONS]

1. Payment amount: 0.69135 BTC

2. Bitcoin Address: 1FxABAd2

3. Payment Deadline: 2025-02-10

Contact Support with your Reference ID to obtain the decryption keys.

[INFORMATION]

Reference ID: F5XCCBUPRKGJ0***

[WARNINGS]

- Do not rename encrypted files; this can prevent decryption.

- Failing to complete payment within the deadline may lead to permanent data loss.

- Failing to complete payment within the deadline may lead to permanent data loss.

[CONTACT SUPPORT]

haxcn@proton.me, wikicn@proton.me

[NOTICE]

You have until 2025-02-10 to complete the payment. Failure to comply will result in the permanent loss of your files.

***

Перевод записки на русский язык:

[УВЕДОМЛЕНИЕ]

Ваша система зашифрована FXLocker.

Следуйте инструкциям по оплате, чтобы восстановить файлы.

[ИНСТРУКЦИИ]

1. Сумма платежа: 0.69135 BTC

2. Адрес Bitcoin: 1FxABAd2

3. Крайний срок оплаты: 2025-02-10

Свяжитесь со службой поддержки, указав свой Reference ID, чтобы получить ключи расшифровки.

[ИНФОРМАЦИЯ]

Идентификатор ссылки: F5XCCBUPRKGJ0***

[ПРЕДУПРЕЖДЕНИЯ]

- Не переименовывайте зашифрованные файлы; это может помешать расшифровке.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

[СВЯЖИТЕСЬ СО СЛУЖБОЙ ПОДДЕРЖКИ]

haxcn@proton.me, wikicn@proton.me

[УВЕДОМЛЕНИЕ]

У вас есть время до 2025-02-10, чтобы завершить платеж. Несоблюдение приведет к безвозвратной потере ваших файлов.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла или случайное. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG 

MD5: d8889f10a8a0dda44817a2bfbd0ca237 

SHA-1: 8b7672496f45432a48b8d307e08855ca9e40da7b 

SHA-256: 1c716742fa1712562e2d6275a68a8d2e73bd910bff417072259bb164f2628863 

Vhash: 027066655d1555755048z6bnzefz 

Imphash: a06f302f71edd380da3d5bf4a6d94ebd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Datacarry

Datacarry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует уплатить выкуп в 1 BTC или дешевле, чтобы вернуть файлы. Иначе, вымогатели угрожают продать данные. Оригинальное название: Datacarry Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.75779139
ESET-NOD32 -> A Variant Of WinGo/ReverseShell.FI
Kaspersky -> HEUR:Backdoor.Win64.Convagent.gen
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Backdoor.Convagent!8.123DC (CLOUD)
Tencent -> Win32.Trojan.Gencirc.Zolw
TrendMicro -> Trojan.Win64.REVERSESHELL.B.go
---

© Генеалогия: родство выясняется >> Datacarry

Сайт "ID Ransomware" Datacarry пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. и продолжилась позже. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть пострадавшие в Великобритании, Бельгии, Дании, ЮАР, Турции, Италии, Греции и других странах. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:

Your network has been attacked.

All files have been encrypted with a strong encryption algorithm.

Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation.

No decryption software is available in the public. If you wish to try decryption on your own, do it on a file that does not matter.

DO NOT RESET OR SHUTDOWN, files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

This may lead to the impossibility of recovery of the certain files.

We can provide free decryption samples.

To get info (decrypt your files) contact us at: datacarry@riseup.net

We have also successfully backed up data such as customer information from your databases. We can provide listing.

Ensuring if you DO NOT comply your data will be leaked. (hxxx://dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion/)

Current price: 1 BTC, can be negotiated

Failure to meet the payment will result in your data being leaked to the public.

Failure to contact will result in a dataleak.

If contacting via email and you receive no response please refer to our session ID: 050d1feda2751e807b2a731f1f5fe764910ba9ea8bc46e2643d31808********** (getsession.org)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
audiofg.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion

Email: datacarry@riseup.net
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d86163423afa32bb0b793ad909d6b357 

SHA-1: 6654da92a135b16a6d74991ed6d23a419a8ea012 

SHA-256: b1cf41363401fe5671e24fd55ee89b0c177140c482a8dab1b9891db509df52f6 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

---

IOC: VT, HA, IA, TG, AR

MD5: 34d8f42e67a6ae938554cb98f939b759 

SHA-1: 02766adb767eb574749646e287a44594d3f71ca3 

SHA-256: 9b4e60fc6089912f84c96e77f8d905a6c1e9e76d15fdce96958a45ad0e8e6108 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Moscovium

Moscovium Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Moscovium Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41617
BitDefender -> Trojan.GenericKD.75733035
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BII
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Zchl
TrendMicro -> TROJ_GEN.R023H09B725
---

© Генеалогия: BlackHeart NextGen: BlackDream, BlackLegion и другие  >> Moscovium

Сайт "ID Ransomware" Moscovium пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .m0sC0v1um

Записка с требованием выкупа называется: !!!_DECRYPT_INSTRUCTIONS_!!!.txt

Содержание записки о выкупе:

== YOUR FILES ARE ENCRYPTED ==

Send 0.1 BTC to: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

Email proof to: m0sc0vlum@tutanota.com

== DO NOT ATTEMPT DECRYPTION YOURSELF ==|

Дополнительно к каждому зашифрованному файлу создается текстовый файл, к имени которого добавляется окончание _KEY.txt

Содержание этого файла: 

MOSCOVIUM RANSOMWARE

Send 0.1 BTC to bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g to recover files

Key: UBhyqXCuU0hLEy8LCrbUsoBEbF9d9cpxtEL7vCIq+eE=

IV: 0J4hJwyAylQyPeZXC6b7Tg==

Рабочий стол блокируется, поверх всего встает экран с надписью: 

YOUR FILES HAVE BEEN ENCRYPTED BY MOSCOVIUM RANSOMWARE

CHECK DESKTOP FOR RECOVERY INSTRUCTIONS

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_DECRYPT_INSTRUCTIONS_!!!.txt - название файла с требованием выкупа;

31ff48d218e462b4c1f3de03.exe - случайное название вредоносного файла; 
main.exe, hxtya.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\vrijbel\hxtya.exe

C:\Users\User\AppData\Local\Temp\31ff48d218e462b4c1f3de03.exe

Информация из кода программы-вымогателя: 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0sc0v1um@tutanota.com
BTC: bc1qxy2kgdygjrsqtzq2n0yrf249ndw0w2u5gq4p4g

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9c30c4744d7d505f5f9a24b6b4c9bebb 

SHA-1: a71f4144b6f0a5edffc933e6dd08782cd60e0dc3 

SHA-256: 31ff48d218e462b4c1f3de03778c60b99bd1ef0d03a974070abb056138a1754b 

Vhash: 2630365515171z5a0010 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SuperBlack

SuperBlack Ransomware

SuperBlack Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться через Tox-чат с вымогателями, чтобы узнать, как заплатить выкуп и расшифровать файлы. Оригинальное название, видимо, SuperBlack. На файле написано: нет данных. Также используется вайпер WipeBlack. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31074
BitDefender -> Trojan.GenericKDZ.107474
ESET-NOD32 -> A Variant Of Win32/Filecoder.BlackMatter.M
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Lockbit.Ransom.FileEncryptor.DDS
Microsoft -> Ransom:Win32/Lockbit.HA!MTB
Rising -> Ransom.LockBit!1.DFDC (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Crypmodng.gz
TrendMicro -> Ransom.Win32.LOCKBIT.SMYXCJN
---

© Генеалогия: BlackMatter >> LockBit 3.0 Black (2022) >> CriptomanGizmo > SuperBlack

Сайт "ID Ransomware" может идентифицировать SuperBlack как один из предыдущих вариантов. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2025 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: fB1SZ2i3X.README.txt
Первая часть названия может меняться. 

Содержание записки о выкупе:

>>>> Your data are stolen and encrypted!

>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.

Data includes:

- Employees personal data, CVs, DL, SSN.

- Complete network map including credentials for local and remote services.

- Financial information including clients data, bills, budgets, annual reports, bank statements.

- Complete datagrams/schemas/drawings for manufacturing in solidworks format

- And more...

You can request the tree of files that we have.

>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:

>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B751D3B2C**********

1)Download and install TOX chat: https://tox.chat

2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.

>>>> DO NOT MODIFY FILES YOURSELF.

>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.

>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.

>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.

Зашифрованные файлы получают новый характерный значок, обои Рабочего стола заменяются.  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fB1SZ2i3X.README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: e09dd7cca0c6c147ba21b4062e723c5b 

SHA-1: ff6333bdda824e4c13bcd13351bd4bb14aaeab11 

SHA-256: d9938ac4346d03a07f8ce8b57436e75ba5e936372b9bfd0386f18f6d56902c88 

Vhash: 01506666151d7d7567za1z8nz7fz 

Imphash: 914685b69f2ac2ff61b6b0f1883a054d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.