Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 15 ноября 2020 г.

Joker Korean

Joker Korean Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 
ransom.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33213
BitDefender -> ***
ALYac -> Trojan.Ransom.Filecoder
ESET-NOD32 ->
Kaspersky -> Trojan-Ransom.PowerShell.Agent.af
Malwarebytes ->
Microsoft -> Trojan:Win32/Ymacco.AA0E
Qihoo-360 -> Generic/HEUR/QVM05.1.4CD7.Malware.Gen
Rising -> Trojan.Generic@ML.89 (RDMK:wL9MU5zyFw40
Symantec -> Trojan Horse
Tencent ->
TrendMicro ->


© Генеалогия: HiddenTear >> Joker Korean

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .joker


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя пришлась был найден в середине ноября 2020 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Штамп даты: 18 апреля 2015 года. Значит исходники это вымогателя уже использовались ранее. 

Текстовой записки с требованием выкупа вероятно нет, т.к. используется экран блокировки. 



Исследователь прислал часть текста на корейском языке с переводом на английский. 


Нам удалось извлечь больше корейского текста и перевести его на русский язык, чтобы понять о чём там говорится.  

Содержание записки о выкупе: 
이랜섬웨어를실행해주
셔서 감사합니다.
당신의 컴퓨터는
JOKER 랜섬웨어에 의
해 암호화되었습니다.
이 창을 끈다면 당신의
파일들을 복구할 수 없을
것입니다.
복구를 하기 위해서는 복
구키를 입력하십시오.
복구키는 1부터 999999
까지의수중에서무작위
로생성됩니다.
복구키는
C:\Users\walterwhine
의 POWER-JOKER-PASSWORD.txt 파일
에 저장되어 있습니다.
컴퓨터의 전원을 꺼도
JOKER 랜섬웨어는돌
아올것입니다. 


Перевод записки на русский язык: 
Спасибо, что запустили этот ransomware.
Ваш компьютер был зашифрован JOKER Ransomware.
Если вы закроете это окно, то ваши файлы нельзя будет вернуть.
Введите ключ восстановления, чтобы запустить восстановление. 
Ключи восстановления генерируются случайно от 1 до 999999.
Ключ восстановления хранится в файле POWER-JOKER-PASSWORD.txt
Если даже выключите компьютер JOKER Ransomware вернется.


Также есть файл POWER-JOKER-PASSWORD.txt, в котором должен содержаться ключ восстановления. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используются командный bat-файл и PowerShell для осуществления атаки.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
POWER-JOKER-PASSWORD.txt - название файла с требованием выкупа
ransom.exe - название вредоносного файла
clickme.bat - командный файл для запуска


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 13 ноября 2020 г.

HolidayCheer

HolidayCheer Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $40 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HolidayCheer.exe. Использует библиотеку Crypto++. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> ***
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Vigorf.A, Ransom:Win32/FileCrypter.MK!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Trojan.Generic@AI.91 (RDML:v/cYWwuka*
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> CallTROJ_GEN.R002H09KD20


© Генеалогия: ??? >> HolidayCheer

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются: от AttentionVictim1.txt до 
AttentionVictim20.txt

HolidayCheer Ransomware, записка

Содержание записки о выкупе: 
YOUR FILES HAVE BEEN ENCRYPTED!
Dear victim: 
Files have been encrypted! And Your computer has been limited!
To unlock your PC you must pay with one of the payment methods provided, we regularly check your activity of your screen and to see if you have paid. Paypal automatically sends us a notification once you've paid, But if it doesn't unlock your PC upon payment contact us (TheNorthPolean@protonmail.com)
Reference Number : CT - 8675***
When you pay via BTC, send us an email following your REF Number if your PC doesn't unencrypt. Once you pay, Your PC will de decrypted. However if you don't within 14 days we will continue to infect your PC and extract all your data and use it. 
Google 'how to buy / pay with Bitcoin' if you don't know how. To pay by Bitcoin : send $40 to our bitcoin wallet:
38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
flag in base64: ZmxhZ3tUaGFua3NGb3JSZWFkaW5nVG9UaGVFb***

Перевод записки на русский язык: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Уважаемая жертва:
Файлы зашифрованы! И ваш компьютер ограничен!
Чтобы разблокировать компьютер, вы должны заплатить одним из предложенных способов оплаты, мы регулярно проверяем активность вашего экрана и проверяем, заплатили ли вы. Paypal автоматически отправляет нам уведомление после оплаты, но если он не разблокирует ваш компьютер после оплаты, свяжитесь с нами (TheNorthPolean@protonmail.com)
Номер ссылки: CT - 8675 ***
При оплате через BTC отправьте нам email после вашего номера REF, если ваш компьютер не расшифруется. После оплаты ваш компьютер будет расшифрован. Однако, если вы этого не сделаете в течение 14 дней, мы продолжим заражать ваш компьютер, извлекать все ваши данные и использовать их.
Погуглите, "как купить / платить с помощью биткойнов", если вы не знаете, как это сделать. Для оплаты биткойнами: отправьте $40 на наш биткойн-кошелек:
38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
флаг в base64: ZmxhZ3tUaGFua3NGb3JSZWFkaW5nVG9UaGVFb***


Кроме того HolidayCheer содержит скрытое сообщение. 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AttentionVictim1.txt - AttentionVictim30.txt - названия файлов с требованием выкупа 
HolidayCheer.exe - название вредоносного файла

 

По мнению исследователя похоже на вымогатель для CTF.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\<USER>\AppData\Local\Temp\AttentionVictim1.txt
***
C:\Users\<USER>\AppData\Local\Temp\AttentionVictim20.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TheNorthPolean@protonmail.com
BTC: 38ccq12hPFoiSksxUdr6SQ5VosyjY7s9AU
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HelloKitty, Kitty

HelloKitty Ransomware

Kitty Ransomware

HelloKitty Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 и RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 
ag.exe. Написан на C++. В мае 2021 появился новый вариант написанный на языке Go. 
Существует несколько разных версий, которые используют для шифрования разную комбинацию алгоритмов: AES-256 + RSA-2048, AES-128 + NTRU. Также есть версия для Linux, использующая AES-256 + ECDH.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33143, Trojan.Encoder.33348, Trojan.Encoder.33464
BitDefender -> Gen:Heur.Ransom.Imps.1, Gen:Variant.Ransom.Adhubllka.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Redcap.pdjtm, HEUR/AGEN.1127999
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.D
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.DeathRansom
Microsoft -> Trojan:Win32/Ymacco.AA9A
Rising -> Trojan.Generic@ML.85 (RDML:Hg3*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Trojan.Win32.IMPS.USMANKI20
---

© Генеалогия: ✂️ DeathRansom
Adhubllka > TechandStratHelloKitty (Kitty) FiveHands 
© Генеалогия: HelloKitty (Kitty) Kitty Go, Kitty Linux 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted

Этимология названия:
Слово HelloKitty есть в мьютексе HelloKittyMutexВымогатели оказались настолько пугливыми, что не воспользовались email для связи с жертвами, использовали только специальный адрес на onion-сайте, без первичной страницы домена, никак не назвали свою программу и напуганные вопросами в чате сразу сбежали восвояси. Поэтому в логотип статьи был добавлен напуганный котенок. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me_lkdtt.txt
Вероятно, что используется шаблон: read_me_<abbreviation>.txt

Содержание записки о выкупе:
Hello dear user.
Your files have been encrypted.
-- What does it mean?!
Content of your files have been modified. Without special key you can't undo that operation.
-- How to get special key?
If you want to get it, you must pay us some money and we will help you.
We will give you special decryption program and instructions.
-- Ok, how i can pay you?
1) Download TOR browser, if you don't know how to do it you can google it.
2) Open this website in tor browser: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829b93e6d8dbdb10f82c5af4
3) Follow instructions in chat. 

Перевод записки на русский язык:
Привет дорогой пользователь.
Ваши файлы зашифрованы.
-- Что это значит?!
Содержание ваших файлов было изменено. Без специального ключа вы не сможете отменить эту операцию.
- Как получить специальный ключ?
Если вы хотите его получить, вы должны заплатить нам немного денег, и мы вам поможем.
Мы дадим вам специальную программу расшифровки и инструкции.
- Хорошо, как я могу тебе заплатить?
1) Загрузите браузер TOR, если не знаете, как это сделать, можете погуглить.
2) Откройте этот веб-сайт в браузере TOR: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829c93db10f8d8d8d
3) Следуйте инструкциям в чате.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ При выполнении HelloKitty завершает 1706 процессов, закрывает 57 служб и удаляет теневые копии файлов.

➤ HelloKitty содержит встроенный открытый ключ RSA-2048. Этот открытый ключ хешируется SHA256 и используется в качестве идентификатора жертвы в записке с требованием выкупа. Этот открытый RSA-ключ также используется для шифрования симметричного ключа каждого файла.
Для симметричного ключа HelloKitty генерирует 32-байтовое начальное значение на основе метки времени ЦП. Генерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат подвергается операции XOR с первым семенем, в результате чего получается 32-байтовый ключ, используемый для AES-шифрования каждого файла.
После того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES зашифровываются с помощью открытого ключа RSA и добавляются к файлу. HelloKitty добавляет эти дополнительные метаданные в зашифрованный файл. Затем он добавляет четыре магических байта DA DC CC AB в конец зашифрованного файла.
В зависимости от версии HelloKitty может изменять или не изменять расширение файла.
В других образцах HelloKitty вместо RSA использовался встроенный открытый ключ NTRU.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_lkdtt.txt - название файла с требованием выкупа
ag.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\ag.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
HelloKittyMutex
Мьютекс нужен, чтобы предотвратить запуск нескольких экземпляров шифровальщика одновременно. 

Сетевые подключения и связи:
Tor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

DeathRansom Ransomware - ноябрь 2019 - август 2020 
другие варианты - в течении 2020
TechandStrat Ransomware - октябрь 2020
HelloKitty Ransomware - ноябрь 2020
FiveHands Ransomware - декабрь 2020 - январь 2021 и далее


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26-27 декабря 2020: 
Нацелен на бразильские компании. 
В тексте упоминаеттся CEMIG - бразильская энергетическая компания.
Расширение: .kitty
Записка: read_me_lkdtt.txt


➤ Другим информатором является чат на Tor-сайте. 
Немного текста от вымогателей:

 

You was attacked by Kitty ransomware
All your documents, photos, databases and other important files have been encrypted.
The only way to decrypt your files is to receive the decryption program.
For details talk with support in chat.
Hello CEMIG, i'll help you to recover your files, type first message here to start.
***
You have 24 hours to start dialogue or i'll publish your private data or sell it on darknet, i do not care who will take it, you or someone else, we have many backdoors in your system and i sell this information too, so you can stay silent or protect personal data of your employers, secret data of your company and we can remove all backdoors... think about it. You have not so much time.
---
Результаты анализов: VT + AR + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33348
Avira (no cloud) -> HEUR/AGEN.1127999
BitDefender -> Gen:Variant.Ransom.Adhubllka.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.D
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen
Malwarebytes -> Ransom.DeathRansom
Rising -> Trojan.Generic@ML.97 (RDML:Xr*
Symantec -> Ransom.CryptoTorLocker
Tencent -> Win32.Trojan.Filecoder.Wpti
TrendMicro -> TROJ_GEN.R002H09LR20, Ransom_CryptoLocker.R002C0DG821


Вариант от 25-26 декабря или позже, в январе 2021:
Отдельная статья: FiveHands Ransomware >>
Расширение: .crypt
Записка: DECRYPT_NOTE.txt
Имеются отличия, см. сравнительную таблицу разных функций для FiveHands - HelloKitty - DeathRansom. 




=== 2021 ===

Вариант от 28 января 2021: 
Расширение: .crypted
Записка: read_me_lkd.txt
Tor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/*
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33464
BitDefender -> Generic.Malware.PfVPk!12.299C21F3
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.C
Kaspersky -> HEUR:Trojan.Win32.AntiAV
Malwarebytes -> Ransom.HelloKitty
Microsoft -> Ransom:Win32/Death.DB!MTB
Rising -> Ransom.Death!8.11553 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Filecoder.Ecav
TrendMicro -> Ransom.Win32.DEATHRANSOM.F



Вариант от 9 февраля 2021:
Отдельная статья: Epically Ransomware >>


Обновление от 11 февраля 2021: 
Некоторые пояснения по вариантам HelloKitty:
Вариант от 9 мая 2021:
Название: Kitty Go. 
Объект атаки: медицинская компания Western Pathology (США). 
Расширение: .crypted
Записка: read_me_unlock.txt
Новый проект: /Go/src/kitty/kidata/kidata.go


➤ Содержание записки: 
Hello dear westernpathologyinc
Unfortunately, your files have been encrypted and attackers are taking over 1 TB of your personal data. 
financial reports and many other documents. 
Do not try to recover files yourself, you can damage them without special software. 
We can help you recover your files and prevent your data from leaking or being sold on the darknet. 
Just contact support using the following methods and we will decrypt ..one non-important file for free to convince you of our honesty.
use TOR browser to talk with support
hxxx://uqudwxzszbcj6uxbhbdccmixvwjfewn565ifotzvcbbimsjjcczsvpyd.onion/*
---
Результаты анализов: VTVT + VMR + JSB IA + IA + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33894
BitDefender -> Trojan.Ransom.Agent.BX
ESET-NOD32 -> A Variant Of WinGo/Filecoder.M
Kaspersky -> VHO:Trojan-Ransom.Win32.Convagent.gen
Malwarebytes -> Malware.AI.4199637328
Microsoft -> Trojan:Win32/Hynamer.C!ml
Rising -> Ransom.Encoder!8.FFD4 (RDMK:cmR*
TrendMicro  -> TROJ_GEN.R002H07E921, Ransom_Encoder.R002C0WEC21


Вариант от даты появления:
Название: Kitty Linux (для Linux-систем
Расширение: .crypt
Используется OpenSSL (AES256 + secp256k1 + ECDSA)

Вариант июня 2021:
Название: Vice Society. Вероятно спин-офф от HelloKitty. 
Шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA). 
Расширение: .v-society
Email: V-society.official@onionmail.org, ViceSociety@onionmail.org



Вариант от 15 июля 2021:
Новая версия HelloKitty нацелена на серверы ESXi и виртуальные машины, работающие на них.

Сообщение от 13 августа 2021:
Группа вымогателей Vice Society теперь активно использует уязвимость PrintNightmare (CVE-2021-1675 и CVE-2021-34527) диспетчера очереди печати Windows для бокового перемещения по сетям своих жертв.

Вариант от 18 ноября 2021: 
Расширение: .boombye
Записка: _read_me_bro.txt




Май-июнь 2022:
Группа вымогателей ViceSociety атакует Палермо.

Апрель 2023: 
Vice Society использует в атаках новый скрипт PowerShell для кражи данных 

Новость от 19 апреля 2024:
Злоумышленник Gookee/kapuchin0 сделал объявление, в котором утверждает, что является первоначальным создателем HelloKitty Ransomware, меняет назщвание на HelloGookie Ransomware, и в честь такого праздника публикует четыре частных ключа для для расшифровки файлов в ходе старых атак, а также внутреннюю информацию, украденную у Cisco во время атаки 2022 года, и пароли к утекшему исходному коду для Gwent, Witcher 3, Red Engine, украденному у CD Projekt в 2021 году.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Topic of Support
 Added later: Write-up by FireEye (on April 29, 2021)
 Thanks: 
 Andrew Ivanov (article author)
 quitman7, Michael Gillespie
 FireEye
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *