Xentari

Xentari Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA-2048, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Написан на языке программирования Python.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43519
BitDefender -> Trojan.GenericKD.76887576
ESET-NOD32 -> A Variant Of Generik.GMJTXRE
Kaspersky -> UDS:Trojan-Ransom.Win32.Gen
Malwarebytes -> Spyware.Passwordstealer
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> ***
Tencent -> Win32.Trojan-Ransom.Generic.Ekjl
TrendMicro -> TROJ_GEN.R023C0DGM25
---

© Генеалогия: родство выясняется >> Xentari

Сайт "ID Ransomware" Xentari пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .xentari


Записка с требованием выкупа называется: README_XENTARI.txt 

Содержание записки о выкупе:

All of your important files have been ENCRYPTED!

Your documents, photos, videos, and databases are no longer accessible.

The only way to recover them is by purchasing a unique decryption tool

along with a private decryption key generated specifically for your system.

DO NOT ATTEMPT TO:

- Modify, rename, or move encrypted files.

- Run any recovery software or system restore.

- Turn off your computer during the process.

Doing so will result in PERMANENT LOSS of your data.

Encrypted Extensions: .xentari

Encryption: AES-256 + RSA-2048

TO RECOVER YOUR FILES:

1. Send 0.5 BTC to the following Bitcoin address:

1FfmbHfnpaZjKFvyi1okTjJJusN455paPH

2. Email us at:

decrypt@xentari.dark

with your System ID and payment proof.

3. You will receive the decryption tool and key.

Optional: You may test decryption of 1 file (less than 1MB) for free.

DEADLINE: You have 72 hours before the price doubles.

We are the only ones who can decrypt your files.

Tampering or using third-party tools will only damage your data.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_XENTARI.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decrypt@xentari.dark
BTC: 1FfmbHfnpaZjKFvyi1okTjJJusN455paPH

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

c07de2813a8d6502d54f18df57d74b6f 

SHA-1: 8228d9b496c96256614a240c8e806acb12fba35e 

SHA-256: 94067a900edd224ecb64cf208b2c226a15b2aa1edf5d9ef63a749c90f4e16726 

Vhash: 017076655d155d0555504013z3006dmz1cfz 

Imphash: c990338f8145dc29c6f38fb73cf05c77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gentlemen

Gentlemen Ransomware 

The Gentlemen Ransomware

Джентльмены-вымогатели

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов XChaCha20 и X25519, а затем предлагает купить ключ и программу для дешифрования файлов. Оригинальное название: The Gentlemen, указано на сайте. Написан на языке програмимрования Go. Защищен VMProtect. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43304

BitDefender -> Trojan.GenericKD.77358303
ESET-NOD32 -> WinGo/Filecoder.NP
Kaspersky -> Trojan-Ransom.Win64.Agent.eag
Malwarebytes -> Malware.Heuristic.2006
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Kryptik@AI.82 (RDML:LC+GW***
Tencent -> ***
TrendMicro -> ***
---

© Генеалогия: родство выясняется >> Gentlemen 

Сайт "ID Ransomware" идентифицирует это как The Gentleman с февраля 2026. 

Информация для идентификации

Активность этого крипто-вымогателя была в июле — сентябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Замечен в атаках на сети организаций и предприятий обрабатывающей промышленности, строительства, здравоохранения,  страхования, здравоохранения и пр. из стран Азиатско-Тихоокеанского региона: Таиланд, США и другие. 

К зашифрованным файлам добавляется расширение: .<random{6}>


Записка с требованием выкупа называется: README-GENTLEMEN.txt

Содержание записки о выкупе:

4a94d2b7*** = YOUR ID

Gentlemen, your network is under our full control.

All your files are now encrypted and inaccessible.

1. Any modification of encrypted files will make recovery impossible. 

2. Only our unique decryption key and software can restore your files. 

   Brute-force, RAM dumps, third-party recovery tools are useless.

   It’s a fundamental mathematical reality. Only we can decrypt your data.

3. Law enforcement, authorities, and “data recovery” companies will NOT help you.

   They will only waste your time, take your money, and block you from recovering your files — your business will be lost.

4. Any attempt to restore systems, or refusal to negotiate, may lead to irreversible wipe of all data and your network.

5. We have exfiltrated all your confidential and business data (including NAS, clouds, etc). 

   If you do not contact us, it will be published on our leak site and distributed to major hack forums and social networks.

TOX CONTACT - RECOVER YOUR FILES

Contact us (add via TOX ID): F8E24C7F5B12CD69C44C73F438F65E9BF560ADF35EBBDF92CF9A9B84079F8F04060FF98D098E

Download Tox messenger: https://tox.chat/download.html

COOPERATE TO PREVENT DATA LEAK (239 HOURS LEFT)

Check our blog: hxxx://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion/ 

Download Tor browser: https://www.torproject.org/download/

Any other means of communication are fake and may be set up by third parties. 

Only use the methods listed in this note or on the specified website.

Заменяет обои Рабочего стола собственным изображением:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Завершает ряд системных служб и процессов, а затем удаляет теневые копии файлов, очищает Корзину, удаляет журналы системы, очищает журналы протокола удаленного рабочего стола (RDP), удаляет файлы поддержки Защитника Windows и отключает мониторинг в реальном времени.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-GENTLEMEN.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: adf675ffc1acb357f2d9f1a94e016f52 

SHA-1: 2cd15d5d4cc58d06cfb6be5eabc681925d0ce5ce 

SHA-256: 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2 

Vhash: 0170c6050d05050d0504cz1!z 

Imphash: 9da18038e0ba9a33fbbaf76636ea1aff

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 TrendMicro, PCrisk, petik, rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BaqiyatLock

BaqiyatLock Ransomware

BQTLock Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует свяхаться с вымогателями через X (Twitter) или Telegram, чтобы заплатить выкуп и расшифровать  файлы. Шифрование (файл update.exe) и дешифрование (файл decryptor.exe) работает только при наличии своих файлов в той же папке. 
---
Обнаружения: на файл update.exe
DrWeb -> Trojan.Encoder.42593
BitDefender -> Generic.Ransom.Spora.1804A149
ESET-NOD32 -> A Variant Of Win64/Filecoder.BQTLock.A
Kaspersky -> HEUR:Trojan.Win32.Breakwin.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Qilin!8.18F09 (CLOUD)
Tencent -> Malware.Win32.Gencirc.11e18438
TrendMicro -> Ransom.Win64.BQTLOCK.THAFBE

---

Обнаружения: на файл decryptor.exe

DrWeb -> Trojan.Encoder.42758

BitDefender -> Trojan.GenericKD.76866526

ESET-NOD32 -> A Variant Of Generik.KFMARSG

Malwarebytes -> RiskWare.BQTLockDecryptor

Microsoft -> Trojan:Win32/Egairtigado!rfn

Tencent -> Malware.Win32.Gencirc.11e186fd

TrendMicro -> TROJ_GEN.R06EC0DGH25

---

© Генеалогия: ✂ Cactus > BaqiyatLock 

Сайт "ID Ransomware" BaqiyatLock пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июля 2025 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BQTLOCK

Записка с требованием выкупа называется по шаблону: READ_ME_NOW_<numbers>.txt

Примеры: 

READ_ME_NOW_206906.txt

READ_ME_NOW_1538281.txt

Содержание записки о выкупе:

ALL YOUR FILES HAVE BEEN ENCRYPTED BY BQTLOCK!

Your entire network has been penetrated, and all data is now encrypted using military-grade AES-256 and RSA-4096 algorithms. Decryption is impossible without our unique private key.

⚠ Do NOT attempt to recover your files using third-party tools or backups. Any such action will result in the irreversible loss of your data.

To begin the recovery process, contact us exclusively via:

Telegram or Twitter: @ZeroDayX1

Official Channel: hxxxs://t.me/BQTLock

your unique ID

***

You have 48 hours to make contact. After that, the decryption price will double. After 7 days, your key will be destroyed permanently.

We are watchingl

Заменяет обои Рабочего стола своим изображением:

Сообщение от zerodayx1 онлайн: 

hxxxs://x.com/zerodayx1/status/1944647952959451352

💀 BQTlock is just warming up.

This is a small preview,  the real storm comes with our RaaS launch.

Top-tier targets hit. Unknown exploits used.

The world doesn’t know what’s coming. Yet.

BQTlock is already inside… just waiting.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_NOW_<numbers>.txt - название файла с требованием выкупа;

update.exe - название вредоносного файла; 
decryptor.exe - название файла дешифровщика.

Шифрование и дешифрование работает только при наличии своих файлов в той же папке. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Telegram: @ZeroDayX1

Twitter: @ZeroDayX1

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (update.exe): 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 4e7434ac13001fe55474573aa5e9379d 

SHA-1: 53385e0fd7fc9c88080abf5b97cd5b84b31c876e 

SHA-256: 618070d597dd73c43ba5d4bde2baa93a4f6038e3279de3bafe688caa5c409a58 

Vhash: 0461366d1555655c051d0085z6003f56033z4035z33z55z37z

---

Результаты анализов (decryptor.exe):

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a065c2d25096957126b9739f95810a12 

SHA-1: 89c591228df334c3a974ed7b96e2060258171b78 

SHA-256: 862f29aa00bb4ee33729bc6699990dbdf9ef890b8364f8288b173cb1ca5d6787 

Vhash: 0361366d1555655c055dbz2d5efz1lz

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, JAMESWT_WT
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackField

BlackField Ransomware

Aliases: BlackFL, Yamag

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымогателям, чтобы заплатить выкуп и узнать как вернуть свои файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.42558
BitDefender -> Trojan.GenericKD.76800630
ESET-NOD32 -> A Variant Of Win64/Filecoder.ZQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Rising -> Trojan.Kryptik!8.8 (TFE:5:dNueixJeEaL)

Symantec -> Ransom.Conti!gen23
Tencent -> Malware.Win32.Gencirc.1496b9ef
TrendMicro -> Ransom_Lockbit.R002C0DG725
---

© Генеалогия: CONTI-2 >> BlackField

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BlackFL 

Записка с требованием выкупа называется: BlackField_ReadMe.txt

Содержание записки о выкупе:

Hi friends,

Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially

dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover,

we have taken a great amount of your corporate data prior to encryption.

Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue.

 We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:

1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance,

 bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance,

 let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.

2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately.

Our decryptor works properly on any files or systems,

so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own,

 keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.

3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value,

 since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into,

 identify backup solutions and upload your data.

4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking,

 everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog -

5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.

If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:

Primary email : yamag@onionmail.org   use this as the title of your email SFbGThkOQBr3-CdxRU-locals

Secondary email(backup email in case we didn't answer you in 24h) : yamag@tuta.io , TELEGRAM: @gotchadec

Keep in mind that the faster you will get in touch, the less damage we cause.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackField_ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: yamag@onionmail.org, yamag@tuta.io

Telegram: gotchadec
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 6c4fa3e0eedb3100f4757bd2172bec9f 

SHA-1: 5d8c9959c37fcf51c33a59d87d73f5fed90aa05b 

SHA-256: 14468d1a661ce6296e3b0ee696d8c95b3798138668463e142046c056fb870b68 

Vhash: 025066655d1555555az43nz15z27z 

Imphash: 480e15f1c0ffcaef8e7a03e98c1830ef

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow, petik, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EndPoint

EndPoint Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымогателям, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: EndPoint. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.42546
BitDefender -> Generic.Ransom.Babuk.!s!.G.A7E938E3
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> UDS:Trojan.Win32.Generic
Malwarebytes -> Ransom.Babuk
Microsoft -> Ransom:Win32/Babuk.SIB!MTB
Rising -> Ransom.Babuk!1.12A2A (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Babyk.16000578
TrendMicro -> Ransom_Babuk.R002C0DFR25
---

© Генеалогия: Babuk modified >> ChiChi Ransomware > EndPoint

Сайт "ID Ransomware" EndPoint пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .endpoint

Записка с требованием выкупа называется: How To Restore Your Files.txt

Содержание записки о выкупе:

Your data has been stolen and encrypted by EndPoint Ransomware...We will delete the stolen data and help with the recovery of encrypted files after payment has been madeContact me through the following this utox id(6615A0B77B74C26F6E5469B71326F0658783B6FF998B0DC67006C7137E8BC14D4C0784E5FE19)Do not try to change or resotre files yourself,this will break themWe provide free decryption for any 3 files up to 3MbThe final price depepnds on how fast you write to us..Good Luck...

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов с помощью команды: 

vssadmin.exe  delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Restore Your Files.txt - название файла с требованием выкупа;
svchosts.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c00cc937e064946ee42776cfe80754d7 

SHA-1: 8feefc32a39bf6867378c2b25d68dd79e73f1e52 

SHA-256: dd9de77c6e17093b0b2150b3f0c66e8526369ba68fb7b9a5758ff9274d85342e 

Vhash: 015076655d1d1515156078z7iz33z2fz 

Imphash: 96272ca8281bc1f950eb461a23ea5021

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 PaduckLee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.