Boramae

Boramae Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует написать вымогателям через мессенджер Session, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> Trojan.MulDrop29.16566
BitDefender -> Trojan.GenericKD.76035826
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Beast
Microsoft -> Ransom:Win32/Beast.YAP!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:jgbjK5dW7F)

Symantec -> Ransom.Beast

Tencent -> Malware.Win32.Gencirc.10c3032a
TrendMicro -> Trojan.Win32.VSX.PE04C9V
---

© Генеалогия: Beast >> Boramae (улучшенный вариант Beast)

Сайт "ID Ransomware" может идентифицировать это как Beast. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале марта 2025 г., но создан он был в феврале 2025. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .boramae

Фактические используется шаблон: .{victim ID}.boramae

Примеры расширений зашифрованных файлов: 

.{3233CA5F-422E-EB2E-914B-5F2CBAAA094E}.boramae

.{E7C3A206-FB98-EBF8-914B-5F2CBAAA094E}.boramae

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.

2. Its only takes for us at list 20 minutes after payment to completely decrypt you,

to its original state, it's very simple for us!

3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!

4.They also contact the police. Again, only you suffer from this treatment!

5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,

who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!

6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!

We will also publicize this attack using social networks and other media, which will significantly affect your reputation!

7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!

8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!

         YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!

9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !

10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!! 

Contacts :

Download the (Session) messenger (https://getsession.org)  You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"

MAIL:boramae@mailum.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Сравнение Beast и Boramae от ThreatRay

Анализ кода показал, что Beast и Boramae имеют практически идентичный код. Но образец Boramae статически связан с OpenSSL 1.1.0, что значительно увеличило размер его кода. При этом как Beast  содержит около 150 функций, а вариант Boramae около 2500 функций, что значительно усложняет анализ. Исследователи определили использование OpenSSL на уровне функций и изолировали функции вредоносного ПО для прямого сравнения.

Основные различия заключаются в методах обфускации строк. В то время как некоторые строки в варианте используют сложенный формат, другие сохраняют исходный формат Beast с помощью strcpy. Процедура расшифровки XOR в варианте значительно сложнее — вместо использования фиксированного ключа для расшифровки строк он сохраняет ключ в первых 4 байтах входной строки. Затем этот ключ увеличивается на 1 для каждой операции XOR над отдельными буквами, что делает его более сложным, чем исходная версия Beast. Помимо более сложной процедуры дешифрования XOR, в некоторых случаях вместо простых операций XOR используется вычитающее дешифрование. 

Вариант Boramae улучшает оригинальный метод сокрытия строк Beast, включая дополнительные методы обфускации: сложенные строки, инкрементное шифрование потока ключей на основе XOR и дешифрование на основе вычитания.

Подробнее в статье от ThreatRay >>

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
encrypter-windows-gui-x86.exe, shapteam.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boramae@mailum.com
Session messenger

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR

MD5: f1ade7769b7fdc2401798106ec7a9180 

SHA-1: 61bd89ed258c4ed8901c6f02e18743607b52247e 

SHA-256: 5bd8f9cbd108abc53fb1c44b8d10239a2a0a9dd20c698fd2fb5dc1938ae7ba96 

Vhash: 016046656d656290101070200841z23z6025z9050022z400157z 

Imphash: 4580f6d5135a499d1a67b6e3dfc41bd8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 dnwls0719, CYFIRMA, petik, rivitna
 Andrew Ivanov (article author)
 Threatray
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackLock

BlackLock Ransomware

BlackLock Linux Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп, чтобы вернуть файлы. Если пострадавшие откажутся платить, то украденные данные будут слиты.  Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41186
BitDefender -> Trojan.Generic.36893921
ESET-NOD32 -> A Variant Of WinGo/Filecoder.MO
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Malware.AI.4072399573
Microsoft -> Trojan:Win32/Filecoder!MSR
Rising -> Ransom.Generic!8.E315 (CLOUD)
Tencent -> Win64.Trojan-Ransom.Generic.Qzfl
TrendMicro -> TROJ_GEN.R03BC0DK524
---

© Генеалогия: LostTrust >> El Dorado > BlackLock > BlackLock Linux

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя была найден во второй половине февраля 2025 г. Активность группы хакеров-вымогателей замечена с 2024 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

BlackLock Ransomware переименовывает каждый зашифрованный файл случайной строкой символов и добавляет к файлам случайные расширения. 

Записка с требованием выкупа называется: HOW_RETURN_YOUR_DATA.TXT

Содержание записки о выкупе:

Hello!

Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.

--- Our communication process:

1. You contact us.

1. We send you a list of files that were stolen.

2. We decrypt 1 file to confirm that our decryptor works.

3. We agree on the amount, which must be paid using BTC.

4. We delete your files, we give you a decryptor.

5. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.

--- Client area (use this site to contact us):

Link for Tor Browser: hxxx://panela3eefdzfzxzxcsh***tzvjyd.onion/ddb34da5-dce4-4b46-8f7d-4674ab38be9d

>>> to begin the recovery process.

* In order to access the site, you will need Tor Browser,

you can download it from this link: hxxps://www.torproject.org/

--- Recommendations:

DO NOT RESET OR SHUTDOWN - files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

--- Important:

If you refuse to pay or do not get in touch with us, we start publishing your files.

Еhe decryptor will be destroyed and the files will be published on our blog.

Blog: hxxx://dataleakypypu7uwblm5kttv726l3iripago6p336xjnbstkjwrlnlid.onion

Sincerely!

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Распространяется с 2024 года на русскоязычном форуме RAMP как RaaS. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_RETURN_YOUR_DATA.TXT - название файла с требованием выкупа;
enc_windows_amd64.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://26ubgm3vvrjawkdyfhvl2d2nhq77nu3zsagbih4yy2zgau5uv5ivfgyd.onion/dd6a54ac101e46032344dd2cef5e32

Tor-URL: hxxx://dataleakypypu7uwblm5kttv726l3iripago6p336xjnbstkjwrlnlid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Информация о пострадавших на сайте вымогателей:

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d1cd0d1ecf05b1c49c732e7070214676 

SHA-1: 966752f12e81ffa1322da91f861fb0ee0ee771e7 

SHA-256: 0622aed252556af50b834ae16392555e51d67b3a4c67a6836b98534a0d14d07d 

Vhash: 046066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

---

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

MetaEncryptor Ransomware - с августа 2022

LostTrust Ransomware -  с сентября 2023

El Dorado Ransomware - с мая 2024
BlackLock Ransomware - с февраля 2025

BlackLock Ransomware для Linux - с марта 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 марта 2025: 

Сообщение >>

Версия для Linux.

Написан на языке GO. 

На файле написано: enc_linux_amd64.elf. 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 17a2f0bd0af19cecc108c5937e3054d0 

SHA-1: f439f4b1c1a7179bf5d2634d84342d413f360885 

SHA-256: 1da86aa04214111ec8b4a2f46e6450f41233da1110f0b32890d522285a2ae38b 

Vhash: 2ae4e8508310db9b5a868735969a533c

➤ Обнаружения:

DrWeb -> Linux.Encoder.568

BitDefender -> Trojan.Linux.GenericKD.43646

ESET-NOD32 -> Linux/Filecoder.EO

Microsoft -> Ransom:Linux/SAgnt!MTB

Rising -> Ransom.Agent/Linux!8.138F2 (CLOUD)

Tencent -> Linux.Trojan.Avi.Ymhl

TrendMicro -> Ransom.Linux.BLACKLOCK.THCOFBE

Вариант от 29 июня 2025: 

Сообщение >>

Расширение: .<random>

Пример расширения: .mcfcjuky

Записка: HOW_RETURN_YOUR_DATA.TXT

Tor-URL: 

4ozbomcjurd64vgeblkoqeqirvawi3dddswriw6qespscmequmqlshyd.onion

zdkexsh2e7yihw5uhg5hpsgq3dois2m5je7lzfagij2y6iw5ptl35gyd.onion

IOC: VT, IA

MD5: f392807da3ee1f3e9702ce5fa91d418d 

SHA-1: 267c2e01edebdccd5387bfa6def2255d3f239b48 

SHA-256: 57f7bfb5b37364563c03ed29228a43e44936edb4ea1f232b6c74c2ecd06cce1d 

Vhash: 046066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.42501

BitDefender -> Trojan.Generic.38154808

ESET-NOD32 -> A Variant Of WinGo/Filecoder.MO

Malwarebytes -> Malware.AI.2857863496

Microsoft -> Trojan:Win32/Egairtigado!rfn

Rising -> Ransom.Generic!8.E315 (CLOUD)

TrendMicro -> Ransom.Win64.BLACKLOCK.THFCOBE

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 Shanholo, Gameel Ali, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NailaoLocker

NailaoLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  алгоритма AES-256-CTR, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, NailaoLocker дано исследователями. На файле написано: нет данных. Согласно данным исследователей из Orange, написан на C++, относительно прост и плохо спроектирован.

---
Обнаружения (файл не предоставлен):
DrWeb -> ***
BitDefender -> Gen:Variant.Cerbu.251658
ESET-NOD32 -> A Variant Of Win64/Filecoder.SZ
Kaspersky -> Trojan-Ransom.Win64.Agent.dxf
Malwarebytes -> Malware.AI.4284765157
Microsoft -> Trojan:Win32/Wacatac.A!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> SONAR.RansomNailo!g1, Trojan Horse
Tencent -> Malware.Win32.Gencirc.10c0e368
TrendMicro -> TROJ_GEN.R023H0CBI25
---

© Генеалогия: родство выясняется >> NailaoLocker

Сайт "ID Ransomware" NailaoLocker идентифицирует с 7 августа 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в атаках на европейские организации здравоохранения в период с июня по октябрь 2024 года и продолжилась в начале 2025 г., т. к. вредоносная кампания нацелена на более широкую группу организаций по всему миру в различных секторах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .locked

Записка с требованием выкупа называется: 
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html

Содержание записки о выкупе:
см. на изображении. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Атаки использовали уязвимость Check Point Security Gateway CVE-2024-24919 для получения доступа к целевым сетям и развертывания вредоносных программ ShadowPad и PlugX — двух семейств, тесно связанных с китайскими государственными группами угроз.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Особенности NailaoLocker

➤ NailaoLocker не завершает процессы безопасности или запущенные службы, отсутствуют механизмы противодействия отладке и обхода "песочницы", а также не сканирует сетевые ресурсы.

Вредонос NailaoLocker внедряется в целевые системы посредством загрузки DLL (sensapi.dll) с использованием легитимного и подписанного исполняемого файла (usysdiag.exe). Загрузчик вредоносного ПО (NailaoLoader) проверяет среду, выполняя проверки адресов памяти, а затем расшифровывает основную полезную нагрузку (usysdiag.exe.dat) и загружает ее в память.

Затем злоумышленники провели сетевую разведку и горизонтальное перемещение в основном через RDP, пытаясь получить дополнительные привилегии. Было замечено, что злоумышленники вручную запускали легитимный двоичный файл logger.exe для загрузки вредоносной DLL logexts.dll. При запуске DLL копирует смежную зашифрованную полезную нагрузку (например, 0EEBB9B4.tmp) в раздел реестра Windows (при этом имя этого раздела связано с серийным номером тома системного диска).

Затем вредоносная нагрузка 0EEBB9B4.tmp удаляется злоумышленниками и в конечном итоге извлекается DLL из раздела реестра и внедряется в другой процесс. Наконец, создается служба или задача запуска для запуска logger.exe и поддержания устойчивости системы. 

После анализа исследователи смогли связать 0EEBB9B4.tmp с новой версией печально известного вредоносного ПО ShadowPad (при этом DLL выступает в качестве его загрузчика).

➤ NailaoLocker сначала проверяет, загружен ли sensapi.dll, затем удаляет его из памяти и с диска. Затем создает мьютекс Global\lockv7.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html - название файла с требованием выкупа;
unlock_please_view_this_file.html - название другого файла с требованием выкупа;

usysdiag.exe - легитимный файл, подписанный Beijing Huorong Network Technology Co., Ltd;

sensapi.dll - встроенный загрузчик;

usysdiag.exe.dat - обфусцированный файл NailaoLocker Ransomware.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\lockv7

Сетевые подключения и связи:
Email: johncollinsy@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 693b6237d77c206fe4d08f56f4fae293 

SHA-1: ba9beba6a9f02cea40a2ac0c37c76bfc204b3839 

SHA-256: e0d89af13acb3e3433f6923f09d4a1586815afbb6b6a01ae32da74dc81f43a99 

Vhash: 026056655d55655093z42z85nz34z1b7z 

Imphash: 4446805133cfda8429ed7a1eb37f297e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Orange Cyberdefense, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FXLocker

FXLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.6X BTC, чтобы вернуть файлы. Оригинальное название: FXLocker. На файле написано: sample.exe. Написан на языке программирования Python. 

---
Обнаружения:
DrWeb -> Python.Encoder.235
BitDefender -> Trojan.Agent.GOCH
ESET-NOD32 -> Python/Filecoder.ATJ
Kaspersky -> HEUR:Trojan-Ransom.Python.Agent.gen
Malwarebytes -> Agent.Spyware.Stealer.DDS
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***

Symantec -> Infostealer
Tencent -> Win32.Trojan-Ransom.Agent.Xmhl

TrendMicro -> TROJ_GEN.R002H09BJ25
---

© Генеалогия: родство выясняется >> FXLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

[NOTICE]

Your system has been encrypted by FXLocker.

Please follow the payment instructions to recover your files.

[INSTRUCTIONS]

1. Payment amount: 0.69135 BTC

2. Bitcoin Address: 1FxABAd2

3. Payment Deadline: 2025-02-10

Contact Support with your Reference ID to obtain the decryption keys.

[INFORMATION]

Reference ID: F5XCCBUPRKGJ0***

[WARNINGS]

- Do not rename encrypted files; this can prevent decryption.

- Failing to complete payment within the deadline may lead to permanent data loss.

- Failing to complete payment within the deadline may lead to permanent data loss.

[CONTACT SUPPORT]

haxcn@proton.me, wikicn@proton.me

[NOTICE]

You have until 2025-02-10 to complete the payment. Failure to comply will result in the permanent loss of your files.

***

Перевод записки на русский язык:

[УВЕДОМЛЕНИЕ]

Ваша система зашифрована FXLocker.

Следуйте инструкциям по оплате, чтобы восстановить файлы.

[ИНСТРУКЦИИ]

1. Сумма платежа: 0.69135 BTC

2. Адрес Bitcoin: 1FxABAd2

3. Крайний срок оплаты: 2025-02-10

Свяжитесь со службой поддержки, указав свой Reference ID, чтобы получить ключи расшифровки.

[ИНФОРМАЦИЯ]

Идентификатор ссылки: F5XCCBUPRKGJ0***

[ПРЕДУПРЕЖДЕНИЯ]

- Не переименовывайте зашифрованные файлы; это может помешать расшифровке.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

- Невыполнение платежа в установленные сроки может привести к необратимой потере данных.

[СВЯЖИТЕСЬ СО СЛУЖБОЙ ПОДДЕРЖКИ]

haxcn@proton.me, wikicn@proton.me

[УВЕДОМЛЕНИЕ]

У вас есть время до 2025-02-10, чтобы завершить платеж. Несоблюдение приведет к безвозвратной потере ваших файлов.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
sample.exe - название вредоносного файла или случайное. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: haxcn@proton.me, wikich@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG 

MD5: d8889f10a8a0dda44817a2bfbd0ca237 

SHA-1: 8b7672496f45432a48b8d307e08855ca9e40da7b 

SHA-256: 1c716742fa1712562e2d6275a68a8d2e73bd910bff417072259bb164f2628863 

Vhash: 027066655d1555755048z6bnzefz 

Imphash: a06f302f71edd380da3d5bf4a6d94ebd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Datacarry

Datacarry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует уплатить выкуп в 1 BTC или дешевле, чтобы вернуть файлы. Иначе, вымогатели угрожают продать данные. Оригинальное название: Datacarry Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.75779139
ESET-NOD32 -> A Variant Of WinGo/ReverseShell.FI
Kaspersky -> HEUR:Backdoor.Win64.Convagent.gen
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Backdoor.Convagent!8.123DC (CLOUD)
Tencent -> Win32.Trojan.Gencirc.Zolw
TrendMicro -> Trojan.Win64.REVERSESHELL.B.go
---

© Генеалогия: родство выясняется >> Datacarry

Сайт "ID Ransomware" Datacarry пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2025 г. и продолжилась позже. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть пострадавшие в Великобритании, Бельгии, Дании, ЮАР, Турции, Италии, Греции и других странах. 

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:

Your network has been attacked.

All files have been encrypted with a strong encryption algorithm.

Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation.

No decryption software is available in the public. If you wish to try decryption on your own, do it on a file that does not matter.

DO NOT RESET OR SHUTDOWN, files may be damaged.

DO NOT RENAME OR MOVE the encrypted and readme files.

DO NOT DELETE readme files.

This may lead to the impossibility of recovery of the certain files.

We can provide free decryption samples.

To get info (decrypt your files) contact us at: datacarry@riseup.net

We have also successfully backed up data such as customer information from your databases. We can provide listing.

Ensuring if you DO NOT comply your data will be leaked. (hxxx://dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion/)

Current price: 1 BTC, can be negotiated

Failure to meet the payment will result in your data being leaked to the public.

Failure to contact will result in a dataleak.

If contacting via email and you receive no response please refer to our session ID: 050d1feda2751e807b2a731f1f5fe764910ba9ea8bc46e2643d31808********** (getsession.org)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
audiofg.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion

Email: datacarry@riseup.net
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d86163423afa32bb0b793ad909d6b357 

SHA-1: 6654da92a135b16a6d74991ed6d23a419a8ea012 

SHA-256: b1cf41363401fe5671e24fd55ee89b0c177140c482a8dab1b9891db509df52f6 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

---

IOC: VT, HA, IA, TG, AR

MD5: 34d8f42e67a6ae938554cb98f939b759 

SHA-1: 02766adb767eb574749646e287a44594d3f71ca3 

SHA-256: 9b4e60fc6089912f84c96e77f8d905a6c1e9e76d15fdce96958a45ad0e8e6108 

Vhash: 026066655d1d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.