Mamona

Mamona Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать в чат сайта вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41843
BitDefender -> Gen:Trojan.Heur3.LPT.lyW@aittNXfab
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Malware.Win32.Gencirc.10c352d7
TrendMicro -> Ransom.Win32.MAMONA.THCBOBE
---

© Генеалогия: родство выясняется >> Mamona

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HAes

Записка с требованием выкупа называется: README.HAes.txt

Содержание записки о выкупе:

~~Mamona, R.I.P!~~

Welcome!

Visit our blog --> hxxx://owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat —> bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion/victim-chat/s630fx3eow8u

Password —>

As you may have noticed by now, all of your files were encrypted & stolen.

[What happened?]

-> We have stolen a significant amount of your important files from your network and stored them on our servers.

-> Additionally, all files are encrypted, making them inaccessible without our decryption tool.

[What can you do?]

--> You have two options:

--> 1. Pay us for the decryption tool, and:

--> - You can decrypt all your files.

--> - Stolen data will be deleted from our servers.|

--> - You will receive a report detailing how we accessed your network and security recommendations.

--> - We will stop targeting your company.

--> 2. Refuse to pay and:

--> - Your stolen data will be published publicly.

--> - Your files will remain locked.

--> - Your reputation will be damaged, and you may face legal and financial consequences.

--> - We may continue targeting your company.

[Warnings]

--> Do not alter your files in any way. If you do, the decryption tool will not work, and you will lose access permanently.

--> Do not contact law enforcement. If you do, your data will be exposed immediately.

--> Do not hire a recovery company. Decrypting these files without our tool is impossible. Each file is encrypted with a unique key, and you need our tool to decrypt them.

Заменяет обои Рабочего стола изображением с чёрным фоном и  информационной надписью. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.HAes.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

Blog: owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion

Chat: bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0f6d6ef9b82ece9dbbdc711ac00b5e6a 

SHA-1: 15ca8d66aa1404edaa176ccd815c57effea7ed2f 

SHA-256: c5f49c0f566a114b529138f8bd222865c9fa9fa95f96ec1ded50700764a1d4e7 

Vhash: 015066655d1d05651148z641z204hz15z37z 

Imphash: bea0fe4f47a3540e17a85006a21d644c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vanhelsing

Vanhelsing Ransomware

Vanhelsing Locker Ransomware

Variants: Punisher 

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма шифрования ChaCha20, а затем требует связаться с вымогателями через чат на сайте в сети Tor, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Vanhelsing Locker. Написан на языке C++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41808
BitDefender -> Trojan.GenericKD.76082499
ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen
Malwarebytes -> Malware.AI.4195397484
Microsoft -> Ransom:Win32/Vanhelsing.DA!MTB
Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c34a3b
TrendMicro -> Ransom.Win32.VANHELSIN.THCAGBE
---

BitDefender -> Trojan.GenericKD.76090600

ESET-NOD32 -> A Variant Of Win32/Filecoder.VanHelsing.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Trojan:Win32/Znyonm!rfn

Rising -> Ransom.VanHelsing!1.12A48 (CLASSIC)

Tencent -> Malware.Win32.Gencirc.10c34dde

TrendMicro -> Ransom.Win32.VANHELSIN.THCAHBE

© Генеалогия: родство выясняется >> Vanhelsing > Punisher 

Сайт "ID Ransomware" идентифицирует Vanhelsing с 25 марта 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале — середине марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vanhelsing
Также может использоваться расширение: .vanlocker

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
—= No news is a good news ! =—
Your network has been breached and all your files Personal data, financial reports and important documents has been stolen , encrypted and ready to publish to public,
if you willing to continue your bussines and make more money and keep bussines secret safe you need to restore your files first. And to restore all your files you have to pay the ransom in Bitcoin.
don't bother your self and wast your time or make it more harder on your bussines , we developed a locker that can't be decrypted using third part decrypters .
making your self geek and trying to restore the files with third part decrypter this will leads to lose all your date ! and then the even you pay the ransom can't help you to restore your files even us.
to chat with us :
1 - Download tor browser https://www.torproject.org/download/
2 - go to one of these links above
hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.omon
hxxx://vanhelqmjstkvlhrjw2gjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion
hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion
hxxx://vanheltarnbfjhuvggbncniap56dscnz25yf6yjmxqivqmb5r2gmllad.onion
3 - you will be asked for your ticket id to enter the chat this for you : TICKET ID 775657536187154*****
usefull links :
#OUR TOR BLOG :
hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion
hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sulaad.onion
hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23qqotyr3y72yd.onion


Заменяет обои Рабочего стола следующим изображением: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Подробности о шифровании
Вымогатель содержит открытый ключ Curve25519, встроенный в код. Для каждого зашифрованного файла генерируются два случайных эфемерных значения размером 32 байта и 12 байт, которые используются в качестве ключа и разового номера для шифрования файлов с помощью алгоритма ChaCha20. Они, в свою очередь, шифруются с помощью открытого ключа, а результат форматируется в шестнадцатеричный формат для хранения в файле. Если размер файла около 1 ГБ (0x3E800000 байт) или больше, программа-вымогатель зашифрует только первые 30% содержимого файла, начиная с самого начала. Если размер файла меньше, будет зашифрован весь файл. Содержимое шифруется фрагментами размером около 1 МБ (0x100000 байт).

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список папок, пропускаемых при шифровании:

$Recycle.Bin, $RECYCLE.BIN, all users, Boot, default, intel, microsoft, msocache, perflogs, program files, program files(x86), System Volume Information, temp, thumb, tmp, tor browser, Trend Micro, Windows, windows, winnt

Список файлов, пропускаемых при шифровании:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, d3d9caps.dat, desktop.ini, GDIPFONTCACHEV1.DAT, iconcache.db, LOGS.txt, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, README.txt, thumbs.db

Список расширений файлов, пропускаемых при шифровании:

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .syss, .theme, .themepack, .vanlocker, .wpx

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

vhlocker.png - изображения для замены обоев Рабочего стола; 

1-locker.pdb - файл проекта вредоносного файла; 
vanlocker.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\VanHelsing

Сетевые подключения и связи:

Чаты на сайте в сети Tor: 

hxxx://vanhelcbxqt4tqie6fuevfng2bsdtxgc7xslo2yo7nitaacdfrlpxnqd.onion

hxxx://vanhelqmjstkvlhrjwzgjzpq422iku6wlggiz5y5r3rmfdeiaj3ljaid.onion

hxxx://vanhelsokskrlaacilyfmtuqqa5haikubsjaokw47f3pt3uoivh6cgad.onion

hxxx://vanheltarnbfjhuvggbncniap56dscnzz5yf6yjmxqivqmb5r2gmllad.onion

Блоги на сайте в сети Tor:  

hxxx://vanhelvuuo4k3xsiq626zkqvp6kobc2abry5wowxqysibmqs5yjh4uqd.onion

hxxx://vanhelwmbf2bwzw7gmseg36qqm4ekc5uuhqbsew4eihzcahyq7sukzad.onion

hxxx://vanhelxjo52qr2ixcmtjayqqrcodkuh36n7uq7q7xj23ggotyr3y72yd.onion

Email: -
BTC: bc1qw92kdpnedjd037lxej9q9336y05v7gql0u4qcv

BTC: bc1q0cuvj9eglxk43v9mqmyjzzh6m8qsvsanedwrru

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5c254d25751269892b6f02d6c6384aef 

SHA-1: 79106dd259ba5343202c2f669a0a61b10adfadff 

SHA-256: 86d812544f8e250f1b52a4372aaab87565928d364471d115d669a8cc7ec50e17 

Vhash: 016056655d65556048z8a1z23z5045z4011z45zd7z 

Imphash: e870a99add7c0b9f65f6f1716f8997a3

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3e063dc0de937df5841cb9c2ff3e4651 

SHA-1: e683bfaeb1a695ff9ef1759cf1944fa3bb3b6948 

SHA-256: 99959c5141f62d4fbb60efdc05260b6e956651963d29c36845f435815062fd98 

Vhash: 075056655d75556048z811z2dz43z45zd7z 

Imphash: 9951b4b852f8bee5d019bc23e6ac6bd6

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 18 октября 2025: 

Сообщение >>

Самоназвание: Punisher Ransomware 

Расширение: .punisher

Записка: README.txt

Tor-URL: jh3zjsqgqk5woyuls7dxgdtorcycjx3i3sgdqpwdbiizunb5vbmppiid.onion

IOC: VT: 

MD5: 1c48b76ce58da6e7e482f4b84de760ab 

SHA-1: f62a88732a29c9350b2b8a038ed0b4f6e0a569c1 

SHA-256: e5e9d121f75bf81d144c5682ae8c9ed6819051a5bc2a1cde95cf3aa6a24334ac 

Vhash: 075066655d155d055058z8a1z23z5045z3011z25zd7z 

Imphash: 34cce86004def0b0dfdc1ac258d76641

---

Обнаружения: 

DrWeb -> Trojan.Encoder.43510

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.Hansom

Kaspersky -> HEUR:Trojan-Ransom.Win32.Agent.gen

Malwarebytes -> Ransom.Punisher

Microsoft -> Ransom:Win32/Vanhelsing.AB

Rising -> Ransom.Hansom!8.13898 (CLOUD)

Tencent -> Win32.Trojan-Ransom.Agent.Rsmw, Malware.Win32.Gencirc.14a0a668

TrendMicro -> Trojan.Win32.VSX.PE04C9n, Ransom.Win64.VANHELSIN.SMPI

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 mrglwglwgl, JAMESWT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Vico, Miokawa

Vico Ransomware

Miokawa Ransomware

Moroccan Dragons Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 1.103301 Monero (XMR) = 230 US Dollar, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41761, Trojan.Encoder.41762, Trojan.Encoder.41780

BitDefender -> Trojan.GenericKD.76001685, Trojan.GenericKD.76003149
ESET-NOD32 -> A Variant Of Win64/Filecoder.TQ
Kaspersky -> Trojan.Win64.Agentb.lcgx, Trojan-Ransom.Win64.Agent.dya
Malwarebytes -> Ransom.Vico
Microsoft -> Trojan:Win32/FileCoder!rfn, Trojan:Win32/FileCoder!rfn
Rising -> Ransom.Agent!1.129CD (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c31435, Malware.Win32.Gencirc.10c314b0
TrendMicro -> Ransom.Win64.DRACOVICO.SM
---

© Генеалогия: родство выясняется >> Vico, Miokawa 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале марта 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .vico

Записка с требованием выкупа называется: case_id.txt

Содержание записки о выкупе:

Case ID: 5XA6IN

## ⚠️ YOUR FILES HAVE BEEN ENCRYPTED ⚠️

Your important files have been **encrypted** by **Moroccan Dragons** using military-grade encryption.

This includes all documents, photos, videos, databases, and other critical data.

You cannot access them without our decryption key.

### What Happened?

We have locked your files with a unique encryption algorithm.

Decryption is **impossible** without the corresponding private key.

### How to Recover Your Files?

To restore access, you must pay **1.103301 Monero (XMR) [230 US Dollar]** to our secure wallet:

💰 **Payment Amount:** 1.103301

📥 **Monero Wallet Address:** [Monero Address]

### After Payment:

1. Send proof of payment along with your **Case ID** to our email: **[Contact Email]**

2. Our system will verify the transaction.

3. We will provide the **decryption software** and **unique key** to unlock your files.

### IMPORTANT WARNINGS:

⏳ **You have 48H to pay** before the price **doubles**.

🚨 If you fail to pay within **48H**, your files will be **permanently lost**.

❌ Attempting manual recovery or using third-party tools **will corrupt your data**.

🚫 Do not contact authorities—they cannot help you, and failure to comply will result in total data loss.

### How to Pay?

1. Buy **Monero (XMR)** from a cryptocurrency exchange (Binance, Kraken, etc.).

2. Transfer the required amount to our wallet address.

3. Email proof of payment and your **Case ID**, and we will handle the rest.

🔒 **Your files are locked. The choice is yours. Act now before it's too late.**

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, кроме тех, что находятся в списках игнорируемых. 

Список игнорируемых типов файлов (список расширений):
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx

Список игнорируемых директорий (папок):

$recycle.bin, $windows.~bt, $windows.~ws, all users, boot, config.msi, default, intel, microsoft, msocache, perflogs, program files, program files (x86), programdata, public, system volume information, tor browser, windows, windows.old, x64dbg

Список игнорируемых файлов:

autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db, GDIPFONTCACHEV1.DAT, d3d9caps.dat

Файлы, связанные с этим Ransomware:
case_id.txt - название файла с требованием выкупа;

澪川勒索病毒.exe (Miokawa.exe) - название вредоносного файла;

system_processor.exe - название вредоносного файла;
<other_names>.exe - другие названия вредоносных файлов; 

<random>.exe - случайное название вредоносного файла.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: hxxxs://api.telegram.org/bot7618532177

Email: -
Monero (XMR)

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d6778845fbe182bcea336e6a905f954d 

SHA-1: ec4328e8e761a1a1915a5fb5ccc85c2f04e4b141 

SHA-256: 2e741ba375523e582c98eb3a42c602f0d38035d358b5787a218fe25a96ad6e12 

Vhash: 0151476d1555151c0d1d1az15hz1bz17z 

Imphash: 1ebbc6e085e9838d86a03ff526210c99

---

IOC: VT, HA, IA, TG, AR

MD5: 7888aeae64dc6feca0b65fc3ba12ed93 

SHA-1: 10fe7c277984928ae4d9e033aa19a6c98198b9c0 

SHA-256: dfab719b8ac43ff2f8a10aea5e04fd4eb273f6cdcea11c610aa68d1c3f6f989d 

Vhash: 0151476d1555151c0d1d1az14hz1lz 

Imphash: 78247129dd1d74a74e3a920630461103

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще образцы:

IOC: VT: 

8f0da65b1714819a26b959b6530cc576

a679f50b756868de0715a7f4aac2348f

678de1a01191c2d3d319cf2730baf560

2c98a0e3c437a617593851697a77fc77

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Yogesh Londhe, JAMESWT, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Boramae

Boramae Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует написать вымогателям через мессенджер Session, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> Trojan.MulDrop29.16566
BitDefender -> Trojan.GenericKD.76035826
ESET-NOD32 -> A Variant Of Win32/Filecoder.OOW
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Beast
Microsoft -> Ransom:Win32/Beast.YAP!MTB
Rising -> Ransom.Agent!8.6B7 (TFE:5:jgbjK5dW7F)

Symantec -> Ransom.Beast

Tencent -> Malware.Win32.Gencirc.10c3032a
TrendMicro -> Trojan.Win32.VSX.PE04C9V
---

© Генеалогия: Beast >> Boramae (улучшенный вариант Beast)

Сайт "ID Ransomware" может идентифицировать это как Beast. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале марта 2025 г., но создан он был в феврале 2025. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .boramae

Фактические используется шаблон: .{victim ID}.boramae

Примеры расширений зашифрованных файлов: 

.{3233CA5F-422E-EB2E-914B-5F2CBAAA094E}.boramae

.{E7C3A206-FB98-EBF8-914B-5F2CBAAA094E}.boramae

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work.

2. Its only takes for us at list 20 minutes after payment to completely decrypt you,

to its original state, it's very simple for us!

3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit!

4.They also contact the police. Again, only you suffer from this treatment!

5. We have developed a scheme for your secure decryption without any problems, unlike the above companies,

who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue!

6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure!

We will also publicize this attack using social networks and other media, which will significantly affect your reputation!

7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards!

8. Do not under any circumstances try to decrypt the files yourself; you will simply break them!

         YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!!

9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM !

10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!! 

Contacts :

Download the (Session) messenger (https://getsession.org)  You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d"

MAIL:boramae@mailum.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Сравнение Beast и Boramae от ThreatRay

Анализ кода показал, что Beast и Boramae имеют практически идентичный код. Но образец Boramae статически связан с OpenSSL 1.1.0, что значительно увеличило размер его кода. При этом как Beast  содержит около 150 функций, а вариант Boramae около 2500 функций, что значительно усложняет анализ. Исследователи определили использование OpenSSL на уровне функций и изолировали функции вредоносного ПО для прямого сравнения.

Основные различия заключаются в методах обфускации строк. В то время как некоторые строки в варианте используют сложенный формат, другие сохраняют исходный формат Beast с помощью strcpy. Процедура расшифровки XOR в варианте значительно сложнее — вместо использования фиксированного ключа для расшифровки строк он сохраняет ключ в первых 4 байтах входной строки. Затем этот ключ увеличивается на 1 для каждой операции XOR над отдельными буквами, что делает его более сложным, чем исходная версия Beast. Помимо более сложной процедуры дешифрования XOR, в некоторых случаях вместо простых операций XOR используется вычитающее дешифрование. 

Вариант Boramae улучшает оригинальный метод сокрытия строк Beast, включая дополнительные методы обфускации: сложенные строки, инкрементное шифрование потока ключей на основе XOR и дешифрование на основе вычитания.

Подробнее в статье от ThreatRay >>

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
encrypter-windows-gui-x86.exe, shapteam.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boramae@mailum.com
Session messenger

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR

MD5: f1ade7769b7fdc2401798106ec7a9180 

SHA-1: 61bd89ed258c4ed8901c6f02e18743607b52247e 

SHA-256: 5bd8f9cbd108abc53fb1c44b8d10239a2a0a9dd20c698fd2fb5dc1938ae7ba96 

Vhash: 016046656d656290101070200841z23z6025z9050022z400157z 

Imphash: 4580f6d5135a499d1a67b6e3dfc41bd8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 dnwls0719, CYFIRMA, petik, rivitna
 Andrew Ivanov (article author)
 Threatray
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.