Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 20 декабря 2020 г.

Uh-Oh

Uh-Oh Ransomware

JGY Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0.01 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JGY.exe. Разработка с использованием .NET.
---
Обнаружения:
DrWeb -> ***
ALYac -> Trojan.Ransom.Cute, Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.eakmq, TR/Ransom.fhdiz
BitDefender -> Trojan.GenericKD.35799648, Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UZ, A Variant Of MSIL/Filecoder.AET
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Trumper.gen
Malwarebytes -> Ransom.CuteRansom, Ransom.FileCryptor
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Trumper.Wsas, Msil.Trojan.Trumper.Sxnv
---

© Генеалогия: CuteRansomware >> Uh-Oh

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .JGY


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных и франкоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 


Содержание текста о выкупе: 
UH-OH! YOUR FILES HAVE BEEN TAKEN OVER!
Your files have now been encrypted with irreversible AES-256 algorithm. Please do not modify, move or delete any of your files as it may cause permanent loss of your data. Instead, we have a better solution for your dilemma.
You may pay us a ransom to get your files decrypted. This guarantees all of your data to be returned as they were before you executed this file.
Send 0.01 BTC to the following address: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
TIME EXPIRES ON: Monday, December 28, 2020

Перевод текста на русский язык: 
ОЙ-ОЙ! ВАШИ ФАЙЛЫ ЗАХВАЧЕНЫ!
Теперь ваши файлы зашифрованы с необратимым алгоритмом AES-256. Пожалуйста, не изменяйте, не перемещайте и не удаляйте какие-либо из ваших файлов, так как это может привести к безвозвратной потере ваших данных. Вместо этого у нас есть лучшее решение вашей дилеммы.
Вы можете заплатить нам выкуп за расшифровку ваших файлов. Это гарантирует, что все ваши данные будут возвращены в том виде, в котором они были до выполнения этого файла.
Отправьте 0.01 BTC на следующий адрес: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
ВРЕМЯ ИСТЕКАЕТ: понедельник, 28 декабря 2020 г.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Копия исполняемого файла добавлется в Автозагрузку системы, чтобы стартовать вместе с системой. 
%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
JGY.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021: 
Расширение: .jgy
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
Файл: Chromio.exe
Результаты анализов: VT + IA

 
 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Kangxiaopao
 Andrew Ivanov (article author)
 Intezer Analyze
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

JCrypt

JCrypt Ransomware

Aliases: Locked, Daddycrypt, Omero

JCrypt CryptoToys / NextGen: Stonks, Crypted, Ncovid, NotStonks, Iam_watching, Vn_os, Wearefriends, MALWAREDEVELOPER, MALKI, Poison, Foxxy, MafiaWare666, et al.


(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: JCrypt. На файле написано: svchost.exe и Microsoft Corporation.exe. В рассмотренном примере шифруются только 5 файлов, возможно, что массово не распространяется и сделан ради позёрства и самоутверждения. Позже вариантов стало много, смотрите о них в обновлениях. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33345, Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.MSIL.Krypt.2, Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> MSIL/Filecoder.AEN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA93, Trojan:Win32/Ymacco.AA8D
Rising -> Malware.Undefined!8.C *
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Crypren.Ehrw, Msil.Trojan.Crypren.Aduf
TrendMicro -> Ransom_Crypren.R002C0WLJ20, Ransom_Crypren.R002C0WLL20
---

© Генеалогия: Blank >> JCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Варианты этого крипто-вымогателя были найдены во второй половине декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: ___RECOVER__FILES__.jcrypt.txt


Содержание записки о выкупе: 
All of your files have been encrypted.
To unlock them, please send 1 bitcoin(s) to BTC address: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1 Afterwards,
I please email your transaction ID to: this.email.address@gmail.com
Thank you and have a nice day! Encryption Log:
C:\Users\admin\Desktop\Tray.exe
C:\Users\admin\Pictures\desktop.ini
C:\Users\admi n\Documents\desktop.ini
C:\Users\admin\Documents\Visual Studio 2013\Settings\CurrentSettings-2016-ll-29.vssettings
C:\Users\admin\Documents\Visual Studio 2013\Settings\CurrentSettings.vssettings

Перевод записки на русский язык: 
Все ваши файлы зашифрованы.
Чтобы разблокировать их, отправьте 1 биткойн на BTC-адрес: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1 После этого,
я прошу отправить ID вашей транзакции по адресу: this.email.address@gmail.com
Спасибо и хорошего дня! Журнал шифрования:
***


Запиской с требованием выкупа также выступает экран блокировки: 



Содержание текста с экрана: 
RIP lmao
Your files (count: 5) have been encrypted!
In order to recover your data...
Please send 1 Bitcoin(s) to the following BTC address:
1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1
Next, E-mail your transaction ID to the following address:
this.email.address@qmail.com

Перевод текста на русский язык: 
RIP lmao
Ваши файлы (число: 5) зашифрованы!
Чтобы восстановить ваши данные ...
Отправьте 1 биткойн (-а) на следующий адрес BTC:
1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1
Затем отправьте свой ID транзакции на следующий email:
this.email.address@qmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
___RECOVER__FILES__.jcrypt.txt - название файла с требованием выкупа
svchost.exe - название вредоносного файла
Microsoft Corporation.exe - название вредоносного файла
WindowsFormsApp1.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: this.email.address@gmail.com
Email: get.back.3355@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> 
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021 или раньше: 
Расширение: .jcrypt
Записка:_RECOVER__FILES__.jcrypt.txt
Email: Clay_whoami_1@protonmail.ch
BTC: 1QD3AHS58SW8Hy4tmNLwh3xEVe345dj4ZG
Результаты анализов: VT 



Вариант от 18-27 января 2021: 
Расширение: .locked
Записка:___RECOVER__FILES__.locked.txt
Email: danielthai101514@gmail.com, friendly.cyber.criminal@gmail.com
BTC: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1
Файл: WindowsFormsApp1.exe
Результаты анализов: VT + VMR + IA + HA + TG
➤ Обнаружения: 
ALYac -> Trojan.GenericKD.36171502
Avira (no cloud) -> HEUR/AGEN.1137051
BitDefender -> Trojan.GenericKD.36171502
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Qihoo-360 -> Generic/Trojan.Ransom.5a0
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H0AAI21




Вариант от 6 февраля 2021: 
Расширение: .daddycrypt
Записка: ___RECOVER__FILES__.daddycrypt.txt
Email: troll22118@gmail.com
Файл: WindowsFormsApp1.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33462
Avira (no cloud) -> TR/Ransom.hmjvr
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Malwarebytes -> Generic.Malware/Suspicious
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Gen.Efar
TrendMicro -> CallTROJ_GEN.R002H09B621

 


Вариант от 24 февраля 2021: 
Расширение: .jcrypt
Записка: ___RECOVER__FILES__.jcrypt.txt
Email: exploitvenus@gmail.com
BTC: bc1q4r4kjrer2l0j0ahlh5cfua3kja0n7cj90u3wcv



Файлы: CORRUPT2.exe, CORRUPT.exe, norm9.wav
Расположения файлов: 
C:\Users\ardak\source\repos\SPREADTHERANSOMWARE\WindowsFormsApp1\obj\Debug\SPREADTHECORRUPTION.pdb
URL: 
hxxx://download1477.mediafire.com/c6z2vzndaxrg/6arkyjujxhtdd0a/norm9.wav
URL: hxxxs://github.com/MALWARECODING/goi/raw/main/CORRUPT2.exe



Результаты анализов: VT + IA + TG + HA
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.bzuzu
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor.Generic
Microsoft -> Trojan:Win32/Ymacco.AA5E
Qihoo-360 -> Win32/Trojan.Generic.HgIASPsA
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09BO21


Вариант от 16 марта 2021: 
Расширение: .omero
Записка: ___RECOVER__FILES__.omero.txt
Email: criminal.ransomware.descripton@protonmail.ch
BTC: 16sqCNGydvKuXG2BKDLf5jhkc3NyxjrQJZ
Файл проекта: C:\Users\cerqueiraJR\Desktop\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb
Файл: WindowsFormsApp1.exe
Результаты анализов: VT + IA + VT
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.PDH!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
TrendMicro -> Ransom.MSIL.CYPREN.SMTH


Вариант от 22 марта 2021: 
Расширение: .ncovid
Записка: ___RECOVER__FILES__.ncovid.txt
Email: Ciastko.zlukrem@gmail.com
Файл: covid.exe
Результаты анализов: VT + IA + VMR + JSB

 


Вариант от 5 апреля 2021:
Относится к JCrypt NextGen. Код немного отличается от ранних вариантов. 
Расширение: .NotStonks
Email: JEBACDISA@jeszczeniegotowy.com
BTC: bc1qdan9eq4qx00x63q43vr7hugr2k9tp86duxarlj
Файл проекта: C:\Users\PC1\source\repos\StonksVirus\StonksVirus\obj\Release\StonksVirus.pdb
Исполняемый файл: StonksVirus.exe
Результаты анализов: VT + IA

➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Bodegun.1
ESET-NOD32 -> A Variant Of MSIL/LockScreen.ALG
Microsoft -> Trojan:MSIL/Filecoder!MSR
Qihoo-360 -> Win32/Trojan.Generic.HwMAZBsA
Rising -> Trojan.LockScreen!8.1AF (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R067C0DDG21


Вариант от 9 апреля 2021:
Относится к JCrypt NextGen. Код немного отличается от ранних вариантов. 
Расширение: .crypted
Записка: ___RECOVER__FILES__.crypted.txt
Email: this.email.address@gmail.com
BTC: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1
Файл: WindowsFormsApp1.exe
Результаты анализов: VT + IA + VMR + AR


➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Malwarebytes -> Malware.AI.4284333729
Microsoft -> Ransom:MSIL/Cryptolocker.PDH!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Crypren.Adaf
TrendMicro -> Ransom.MSIL.CYPREN.SMTH


Вариант от 14 мая 2021:
Расширение: .jcrypt 
Email: vowdom@mailpoof.com
Результаты анализов: AR



Вариант от 15 мая 2021:
Расширение: .iam_watching
Записка: ___RECOVER__FILES__.iam_watching.txt
Email: iam_watching_55@protonmail.com
Файл проекта: C:\Safe_Rebuild_v2\Safe_Rebuild_v2\Safe_Rebuild_v2\EncrypterPOC-main\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb
Файл: WindowsFormsApp1.exe
Результаты анализов: VT


Вариант от 25 мая 2021:
Расширение: .crypted
Записка: READ_ME.crypted.txt
Email: kabayaboo@protonmail.com
BTC: 36yFAmBGNDowqjXxbaPA2F3byPUoxWfZyz
Файл: WindowsFormsApp1.exe
Результаты анализов: VT + TG + TG




Вариант от 10 июня 2021: 
Расширение: .jcrypt
Записка: ___RECOVER__FILES__.jcrypt.txt
Email: theonly_elchapo@protonmail.com
BTC: 14f1kQYt2kSLtv3gnoRmiqcZXhah6HZrCg
Файл: WindowsFormsApp1.exe
Результаты анализов: VT




Вариант от 5 июля 2021:
Расширение: .vn_os
Записка: на экране
Email: vnhack@protonmail.com
BTC: 18qPmNpugTaE3fUWhGbtHqZ6SzYjsGkTJZ
Файл: vn_os.exe
Результаты анализов: VT 




Вариант от 25 июля 2021: 
Самоназвание: FancyLocker
Расширение: .FancyLeaks
Записка: README.FancyLeaks.txt
Записка о выкупе также написана на экране блокировки. 
Файл проекта: 
C:\Users\cudden\Downloads\EncrypterPOC-main\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb
Результаты анализа: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Microsoft -> Ransom:MSIL/FancyLocker.PAA!MTB
Rising -> Ransom.DaddyCrypt!1.D566 (CLASSIC)
TrendMicro -> Backdoor.MSIL.BLADABINDI.USMANGP21




Вариант от 11 августа 2021: 
Расширение: .wearefriends
Email: clay_whoami_1@protonmail.ch
BTC: bc1q4v9ngtqpdq6jfvmz7f72xd7cg97cd082vnmv63
VT: 98892a91cbd81bcc99710849b5dbc7d3



Вариант от 13 августа 2021: 
Расширение: .MALWAREDEVELOPER
VT: 1ccef1fb6b247ffd5d2aae2106d4ed7b


Вариант от 14 августа 2021:
Самоназвание: FancyLocker
Есть незначительные изменения варианта от 25 июля 2021 (см. выше). 
Расширение: .Locked
Записка с требованием выкупа написана на экране блокировки. 
Email: sendransomhere@protonmail.com
Список зашифрованных файлов: ENCRYPTED_FILES.Locked.txt


Файл проекта: C:\Users\cudden\Downloads\EncrypterPOC-main\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\NitroSniper 2021.pdb
Файл: NitroSniper 2021.exe
Результаты анализов: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Variant.Ransom.Malki.1, IL:Trojan.MSILZilla.25863
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHS
Malwarebytes -> MachineLearning/Anomalous.100%
Microsoft -> Ransom:Win32/FancyLocker.PAB!MTB
Rising -> Ransom.DaddyCrypt!1.D566 (CLASSIC)
Tencent -> Msil.Trojan.Crypren.Vmhl
TrendMicro -> Ransom_FancyLocker.R06EC0DBI23





Вариант от 18 августа 2021:
Расширение: .MALKI
Файл проекта: 
C:\Users\sphinx\Desktop\my shit 1\EncrypterPOC\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\MALKI.pdb
Файл: MALKI.exe
VT: 1033b7e4aa5f53ec26a4dd89f86f3cd3
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Variant.Ransom.Malki.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Malwarebytes -> Ransom.CryptoLocker
Microsoft -> Ransom:MSIL/Cryptolocker.PDH!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLASSIC)
TrendMicro -> Ransom_Cryptolocker.R002C0DHI21, Ransom.MSIL.MALKI.YXBIC



Вариант от 11 октября 2021:
Расширение: .poison
Email: bankinter.promo@protonmail.com
E:\Hacking\Video + Archivos\EncrypterPOC-main2\WindowsFormsApp1\obj\Debug\Plantilla_PDF.pdb
VT: fef3098a47486b968dd4737dd7667cf0



Вариант от 20 октября 2021: 
Расширение: .foxxy



Файл: Foxxy.png.exe
Файл проекта: C:\Users\Sou_1\Downloads\EncrypterPOC-main\EncrypterPOC-main\WindowsFormsApp1\obj\Release\Foxxy.png.pdb
VT: 3a993d38ca545c2b45bbb49dfb3dc246
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
ALYac -> Gen:Heur.Ransom.REntS.Gen.1
Avira (no cloud) -> HEUR/AGEN.1137051
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Microsoft -> Ransom:MSIL/Cryptolocker.PDH!MTB
Rising -> Ransom.DaddyCrypt!1.D566 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Trojan.Win32.Crypren.zc
TrendMicro -> Ransom.MSIL.CRYPREN.SM


Вариант от 9 ноября 2021: 
Расширение: .ZAHACKED
Файл проекта: C:\Users\Susan\OneDrive\Desktop\lok\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\1da2h3babABAu3.pdb
VT: 08126afd1787bcfbd49f370b95dac6fb



=== 2022 ===

Вариант от 11 января 2022: 
Самоназвание: BYDGOSZCZ RANSOMWARE!!!
Расширение: .JEBAĆ_BYDGOSZCZ!!!
Записка: _#ODZYSKAJ_PLIKI--.JEBAĆ_BYDGOSZCZ!!!.txt
Email: jebacbydgoszcz666@mail.ru, pabluk69488r68irgi@mail.2tor
BTC: 1BtUL5dhVXHwKLqSdh38FhtEe64Vc6CESp
Файл проекта: C:\Users\PABLUK700\Desktop\EncrypterPOC-main\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb
Файл EXE: WindowsFormsApp1.exe
Результаты анализов: VT + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileLocker




Вариант от 8 мая 2022: 
Расширение: .titancrypt
Записка: ___RECOVER__FILES__.titancrypt.txt
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN

Вариант от 10 мая 2022: 
Расширение: .crypt
Записка: ___RECOVER__FILES__.jcrypt.txt
Email: lol2yeet2@gmail.com
BTC: bc1qwsz2kr7pe0w3qztpxsxqzrk7y24pqkfzdq5j06
Результаты анализов: AR + VT


Вариант от 27 июля 2022: 
Самоназвание: Plutus Ransomware / MafiaWare666
Расширение: .MafiaWare666
Email: MafiaWare666@proton.me
Email-2: hakanonymos@hotmail.com, hakanonymos@hotmail.com
Результаты анализов: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35655
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.MafiaWare666.F
Microsoft -> Ransom:MSIL/Cryptolocker!MSR
QuickHeal -> Ransom.MafiawareCiR
TrendMicro -> Ransom_Gen.R002C0RGT22
---
Записка о выкупе написана на экране блокировки.



Вариант от 25 июля 2022: 
Самоназвание: Plutus Ransomware / MafiaWare666
Расширение: .MafiaWare666
Email: MafiaWare666@proton.me
Результаты анализов: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35633
BitDefender -> Trojan.GenericKD.61034592
ESET-NOD32 -> A Variant Of MSIL/Filecoder.MafiaWare666.C
Microsoft -> Ransom:MSIL/Cryptolocker!MSR
QuickHeal -> Ransom.MafiawareCiR
TrendMicro -> Ransom_Gen.R03BC0PGS22
---
Записка о выкупе написана на следующем экране блокировки.



Вариант от 21 августа 2022: 
Самоназвание: Plutus Ransomware / MafiaWare666
Фактически является вариантом предыдущего с чёрным блокировщиком экрана. 
Расширение: .MafiaWare666
Email: MafiaWare666@proton.me
Email-2: hakanonymos@hotmail.com, hakanonymos@hotmail.com
Распространяется с пиратскими активаторами. 
Результаты анализов: VT + TG + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.35748
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.MafiaWare666.F
Microsoft -> Ransom:MSIL/Cryptolocker!MSR
TrendMicro -> Ransom_Gen.R011C0WHN22
---
Записка о выкупе написана на экране блокировки.

Пропущенные варианты, среди них варианты с расширениями:
.brutusptCrypt
.bmcrypt
.cyberone
.l33ch

Скриншоты некоторых вариантов




Новость от 4 октября 2022:
Специалисты из компании Avast выпустили дешифровщик для файлов, которые были зашифрованы некоторыми вариантами JCrypt-MafiaWare666 и получили после шифрования следующие расширения:
.MafiaWare666
.jcrypt
.brutusptCrypt
.bmcrypt
.cyberone
.l33ch

Скачать дешифровщик можно по ссылке >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as JCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 GrujaRS, KDSS Support
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *