Если вы не видите здесь изображений, то используйте VPN.

среда, 10 августа 2022 г.

Filerec

Filerec Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Filerec Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: вероятно, Filerec, т.к. вымогатели позиционируют себя как "восстановители файлов". На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется. 



Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .filerec

Фактически используется составное расширение по шаблону: .id[<ID>].[<email>].original_filename.filerec

Примеры имен зашифрованных файлов: 
.id[dWbXBaPh].[datarc89@cyberfear.com].file5.txt.filerec
.id[yVfk7QDY].[datarc89@cyberfear.com].photo001.png.filerec

Записка с требованием выкупа называется: filerec.txt

Filerec Ransomware note, записка

Содержание записки о выкупе:
All Your  Files,document,photos,databases,and Other Files Encrypted And Downloaded .your Immprtant Files Is Uploaded To Our Servers  (Data Breach).
The Only Method Of Decrypt And Preventing Data Leak Is To Email Us . Only We Can Recover Your Files And Preventing Data Leak.
What Is The Data Leak ?
When You Did Not Get Paid Back We Sell Your Data In Darkweb .
What Happend After Data Leak ?
Everyone Can Access To Your Data Such Your Personal Images , Databases ,Invoices,Credit Card Numbers, Etc .
For Your Sure You Can Request File From Us.
Cost Of Decryption And Data Leak Is Diffrent.
datarc89@cyberfear.com
If There Is No Response From Us (FileRec69@mailfence.com).
check spam folder
your id : XXXXXXXX , mention it in your mail
Free Files Decryption As Guarantee 
Before Paying You Can Decrypt One File For Free With Contacting Us.
The Size Of File Must Be Less Than 5mb (Non Immportant File) And The File Should Not Contain Valuable Information.
(Databases,backups,large Excel Sheets,etc).
/*Important*/
dont delete files at c:\filerec

Перевод записки на русский язык:
Все ваши файлы, документы, фото, базы данных и другие файлы зашифрованы и загружены. Ваши важные файлы загружаются на наши серверы (нарушение данных).
Единственный способ расшифровать и предотвратить утечку данных — написать нам на email. Только мы можем восстановить ваши файлы и предотвратить утечку данных.
Что такое утечка данных?
Когда вы не вернули деньги, мы продаем ваши данные в Darkweb.
Что произошло после утечки данных?
Каждый может получить доступ к вашим данным, таким как ваши личные изображения, базы данных, счета-фактуры, номера кредитных карт и т. д.
Вы уверены, что можете запросить у нас файл.
Стоимость расшифровки и утечки данных различна.
datarc89@cyberfear.com
Если от нас нет ответа (FileRec69@mailfence.com).
проверьте папку со спамом
ваш id: XXXXXXXX, укажите его в письме
Бесплатная расшифровка файлов в качестве гарантии
Перед оплатой вы можете бесплатно расшифровать один файл, связавшись с нами.
Размер файла должен быть менее 5 МБ (неважный файл), и файл не должен содержать ценную информацию.
(базы данных, резервные копии, большие листы Excel и т.д.).
/*Важно*/
не удалять файлы в c:\filerec


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
filerec.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\filerec

Примерное содержимое папки filerec



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datarc89@cyberfear.com, FileRec69@mailfence.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support-1, Topic of Support-2
 ***
 Thanks: 
 quietman7, Sandor
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 1 августа 2022 г.

N3ww4v3, Mimic

N3ww4v3 Ransomware

Aliases: Mimic, Everything, HorseLovers

(шифровальщик-вымогатель) (первоисточник)
Translation into English


N3ww4v3 Ransomware

Этот крипто-вымогатель шифрует данные на персональных компьютерах, в локальных сетях компаний, организаций,учреждений и их серверах с уязвимой или взломанной 
конфигурацией RDP с помощью комбинации алгоритмов, а затем требует связаться с вымогателями с помощью email, Skype, ICQ или  мессенджера qTOX, чтобы узнать как заплатить выкуп и вернуть файлы. В новых вариантах для связи предлагаются email, qTOX, ICQ, Skype.  Оригинальное название: в записке не указано. На файле написано: encrypt.exe или что-то ещё. Некоторые варианты отличаются друг от друга, вероятно, используются разными группами. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35534, Trojan.Encoder.36055, Trojan.Encoder.36115
BitDefender -> Gen:Variant.Tedy.175217
ESET-NOD32 -> A Variant Of Win32/Filecoder.Mimic.A
Kaspersky -> HEUR:Trojan.Win32.Scar.gen
Malwarebytes -> Malware.AI.1988362341
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:/DRY***
Tencent -> Malware.Win32.Gencirc.120817c3
TrendMicro -> TROJ_GEN.R002H09IO22
---

© Генеалогия: родство выясняется >> 
N3ww4v3 


Сайт "ID Ransomware" это идентифицирует как N3ww4v3/Mimic (с 31 марта 2023). 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июля и продолжилась в августе-ноябре 2022 г. Ориентирован на англоязычных или русскоязычных пользователей, может распространяться по всему миру. 
Далее мы видели разные варианты, которые используют разные элементы вымогательства, разный текст и прочее. Смотрите известные нам варианты в обновлениях после основной статьи. 

К зашифрованным файлам добавляется расширение: .n3ww4v3 

Записка с требованием выкупа называется: How-to-decrypt.txt
В более новых 
вариантах содержание записок может различаться по названию и содержанию. 

N3ww4v3 Ransomware note - записка

Содержание записки о выкупе:
|!!!| Hello |!!!|
---> DON'T ignore this and check ALL INFO carefully!!!
*** About situation:
ALL your important files have been encrypted and ALL sensitive information also leaked!
This modification is reversible and data remain safe!
Encrypting your data is only proof , we only interested money, we don't want to damage your reputation , don't want to harm your work, not make a DDOS attack on your infrastructure -  we only check and uploaded your files!
*** IF WE DO NOT FIND A COMMON LANGUAGE:
---> All encrypted data be irretrievably lost.  
---> Leaked data will be published or sold on black-market (or to competitors). 
  This will be followed by serious consequences and all your customers\partners and special services will be notified about it!
!!! FOLLOW INSTRUCTIONS TO AVOID IRREVERSIBLE CONSEQUENCES !!!
!!!YOU NEED ASAP CONTACT WITH US TO DEAL THIS!!!
---> You don't have another way.
Our contacts will be provided below!
****************************************
!!! WARNING !!!
DON'T use any third party software for restoring your data or antivirus solutions!
DO NOT MODIFY ENCRYPTED FILES!
DO NOT RENAME ENCRYPTED FILES!
- it's may entail damage of the private key and, as result - you loss all data.
!!!No software and services available on internet can help you!!!
!!! Decryption of your files with the help of third parties may cause increased price (they add their fee to our and they usually fail) or you can become a victim of a scam.
__________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REMINDING:
It's in your interests to get your files back and safe all lost files,docs,bases. 
We have your highly confidential/personal data. These data are currently stored on a private server(cloud)!
--->  After payment this cloud will be deleted and your data stay safe!
We guarantee complete anonymity and can provide you with proof and guaranties from our side and our best specialists make everything for restoring, but please should not interfere without us.
|!!!| IF YOU DON'T CONTACT US WITHIN 48 HOURS FROM LOCK YOUR DATA - PRICE WILL BE HIGHER. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** HOW TO CONTACT US:
Just write us an email to this mail(s):
sendr@onionmail.org
sendr@tutanota.com
* To ANONIMOUS contact with us, create a new free email account on the site: tutanota.com (recommended) , onionmail.org , protonmail.com
* To avoid having your email blocked and get spam filters, send private information (such as your private key) with the private notes service:
privnote.com
If you do not receive a reply within 24 hours or do not receive a response to your following messages, contact us with another email or through qTox!
! add our mails to contacts so as not to lose letters from us !
!!! check your spam sometimes, our emails may get there !!!
Your decrypt ID is: ydSr4J56mcJbJ-ABSUzl31J-EtjTnZIkebzT5_2s9wk*n3ww4v3
----------------------------------------
!!! for a quick contact with us or if you will not receive our letters !!!
download qTox and ADD our TOXID.
our individual key(TOXID): 
9E7B8EE126E712BECE1D6A84DD776F25646C13B1E7CDBF00169078EE6EAC653E9B455D7*****
How to download qTOX messenger:
hxxxs://tox.chat/download.html
hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe

Перевод записки на русский язык:
|!!!| Привет |!!!|
---> НЕ ИГНОРИРУЙТЕ это и внимательно проверьте ВСЮ ИНФОРМАЦИЮ!!!
*** О ситуации:
ВСЕ ваши важные файлы зашифрованы, а также утекла ВСЯ конфиденциальная информация!
Эта модификация обратима, и данные остаются в безопасности!
Шифрование ваших данных только доказательство, нас интересуют только деньги, мы не хотим портить вашу репутацию, не хотим навредить вашей работе, не делаем DDOS атаку на вашу инфраструктуру - мы только проверяем и сливаем ваши файлы!
*** ЕСЛИ НЕ НАХОДИМ ОБЩИЙ ЯЗЫК:
---> Все зашифрованные данные будут безвозвратно утеряны.                        
---> Утечка данных будет опубликована или продана на черном рынке (или конкурентам).
  За этим последуют серьезные последствия, о чем будут оповещены все ваши клиенты\партнеры и спецслужбы!
!!! СЛЕДУЙТЕ ИНСТРУКЦИИ ВО ИЗБЕЖАНИЕ НЕОБРАТИМЫХ ПОСЛЕДСТВИЙ!!!
!!!ВАМ НУЖНО СВЯЗАТЬСЯ С НАМИ, ЧТОБЫ СДЕЛАТЬ ЭТО!!!
---> У вас нет другого пути.
Наши контакты будут указаны ниже!
****************************************
!!! ПРЕДУПРЕЖДЕНИЕ !!!
ЗАПРЕЩАЕТСЯ использовать сторонние программы для восстановления данных или антивирусные решения!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
- это может привести к повреждению закрытого ключа и, как следствие, потере всех данных.
!!! Никакие программы и сервисы, доступные в Интернете, вам не помогут!!!
!!! Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей и обычно не работают) или вы можете стать жертвой мошенников.
________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
НАПОМИНАНИЕ:
В ваших интересах вернуть свои файлы и сохранить все потерянные файлы, документы, базы.
У нас есть ваши строго конфиденциальные/личные данные. Эти данные теперь хранятся на частном сервере (облаке)!
---> После оплаты это облако будет удалено, а ваши данные останутся в безопасности!
Мы гарантируем полную анонимность и можем предоставить вам доказательства и гарантии с нашей стороны, а наши лучшие специалисты сделают все для восстановления, но, пожалуйста, не вмешивайтесь без нас.
|!!!| ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 48 ЧАСОВ ПОСЛЕ БЛОКИРОВКИ ДАННЫХ - ЦЕНА БУДЕТ ВЫШЕ. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** КАК С НАМИ СВЯЗАТЬСЯ:
Просто напишите нам письмо на эту почту:
sendr@onionmail.org
sendr@tutanota.com
* Чтобы АНОНИМНО связаться с нами, создайте новую бесплатную учетную запись email на сайте: tutanota.com (рекомендуется) , onionmail.org , protonmail.com
***


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ N3ww4v3 Ransomware использует возможности Windows (Powershell и пр.), а также библиотеку OpenSSL для проведения шифрования файлов. 
Для запуска требуется легитимный файл Everything32.dll или Everything64.dll в 64-разрядной системе. 


Список использованных файлов находится в специальной папке с характерным цифровым названием, см. на скриншоте ниже. 


Путь: C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
vssadmin delete shadows /all /quiet
wbadmin.exe DELETE SYSTEMSTATEBACKUP
wbadmin.exe delete catalog -quiet

Список типов файлов, подвергающихся шифрованию:
Многие типы файлов, кроме тех, что находится в списках исключаемых.  
Это обязательно будет документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключаемые файлы: 
файлы используемой записки о выкупе
зашифрованные файлы с используемым расширением
boot.ini
bootfont.bin
desktop.ini 
iconcache.db
io.sys
ntdetect.com
ntldr 
ntuser.dat
ntuser.ini
thumbs.db
session.tmp
exe

Исключаемые директории: 
$RECYCLE.BIN, $WINDOWS.~BT, $Windows.~WS,
:\Users\Default\,:\Users\Public\,
Boot, Cache, Common Files, Config.Msi,
C:\Users\User\AppData\Local\{***},
Chrome, Firefox, Internet Explorer, MicrosoftEdge, Mozilla Firefox, Mozilla, Opera, Opera Software, Tor Browser,
Intel, Microsoft, Microsoft Shared, Microsoft.NET, MSBuild, MSOCache,
Packages, PerfLogs,
Program Files (x86), Program Files, ProgramData,
steamapps, System Volume Information,
Temp, tmp, USOShared,
Windows Defender, Windows Journal, Windows NT, Windows Photo Viewer, Windows Security,
Windows, Windows.old, WindowsApps, WindowsPowerShell, WINNT,

Вырубаемые процессы: 
agntsvc.exe,  AutodeskDesktopApp.exe, axlbridge.exe, 
bedbh.exe, benetns.exe, bengien.exe, beserver.exe, 
CoreSync.exe, Creative Cloud.exe, 
dbeng50.exe, dbsnmp.exe, 
encsvc.exe, EnterpriseClient.exe, 
fbguard.exe, fbserver.exe, fdhost.exe, fdlauncher.exe, 
httpd.exe, 
isqlplussvc.exe, java.exe, 
msaccess.exe, MsDtSrvr.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, 
mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, 
node.exe, 
ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe, 
pvlsvr.exe, python.exe, 
QBDBMgr.exe, QBDBMgrN.exe, QBIDPService.exe, 
qbupdate.exe, QBW32.exe, QBW64.exe, 
Raccine.exe, Raccine_x86.exe, RaccineElevatedCfg.exe, RaccineSettings.exe, RAgui.exe, raw_agent_svc.exe, 
SimplyConnectionManager.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlmangr.exe, sqlservr.exe, sqlwriter.exe, 
Ssms.exe, Sysmon.exe, Sysmon64.exe, 
tbirdconfig.exe, TeamViewer.exe, TeamViewer_Service.exe, tomcat6.exe, tv_w32.exe, tv_x64.exe, 
VeeamDeploymentSvc.exe, vsnapvss.exe, vxmon.exe, 
wdswfsafe.exe, wpython.exe, wsa_service.exe, wxServer.exe, wxServerView.exe, 
xfssvccon.exe, 

Отключаемые службы: 
AcronisAgent, ARSM, 
backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, 
CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, Culserver, 
dbeng8, dbsrv12, DefWatch, 
FishbowlMySQL, 
GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, 
memtas, mepocs, 
MSExchange$, msexchange, msftesql-Exchange, msmdsrv, 
MSSQL$, MSSQL$KAV_CS_ADMIN_KIT, MSSQL$MICROSOFT##SSEE, MSSQL$MICROSOFT##WID, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$VEEAMSQL2012, MSSQL, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, MSSQLServerADHelper100, MVArmor, MVarmor64, MySQL57, 
PDVFSService, 
QBCFMonitorService, QBFCService, QBIDPService, QBVSS, 
RTVscan, 
SavRoam, sophos, 
SQL, SQLADHLP, SQLAgent$KAV_CS_ADMIN_KIT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$VEEAMSQL2012, sqlagent, sqlbrowser, Sqlservr, SQLWriter, 
stc_raw_agent, svc$, 
tomcat6, 
veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, vmware-converter, vmware-usbarbitator64, VSNAPVSS, vss, 
wrapper, WSBExchange, 
YooBackup, YooIT, 

Отключает системные службы: телеметрию, поиск, дефрагментацию, удаленную поддержку, BITS, VSS, диагностику и прочее. 

Файлы, связанные с этим Ransomware:
How-to-decrypt.txt - название файла с требованием выкупа;
encrypt.exe - название вредоносного файла;
Everything32.dll, Everything64.dll и другие файлы, которые считаются невредоносными, хотя используются только злоумышленниками. 
DC.exe - утилита для контроля Windows Defender, тоже считается невредоносной, хотя используется только злоумышленниками;
sdel.exe, sdel64.exe - файлы утилиты SDelete, тоже считается невредоносной, хотя используется только злоумышленниками;
system86.exe, system64.exe - вредоносные файлы, копии или ассистенты основного файла шифровальщика; 
decr.exe - оригинальный файл для расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything32.dll
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sendr@onionmail.org, sendr@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 01ff843b385a9e4d58e4a892fda02fd5
SHA-1: 233dae8cdb91e030d792d510eaebadb4a4f5a329
SHA-256: 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f
Vhash: 026056656d155562f3z72zd31z23z8045z3091zb4z147z
Imphash: 03693bdee422e8a1531fe65d84da7646


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.


*

=== РЕКОМЕНДАЦИИ: КАК ДО ТАК И ПОСЛЕ АТАКИ ===

На компьютере нужно удалить все ПО, которое использует библиотеки из пакета OpenSSL и полностью деактивировать Windows Powershell и Windows Script Host как вредоносное/опасное ПО от Microsoft.
Если будете переустанавливать систему, то до установки обязательно отключите от сети и интернета каждый ПК. Потом отключите и полностью удалите Powershell и Windows Script Host без возможности восстановления из бекапов и WinSxS. После удаления зачистите остатки с помощью DISM++, например, или другими способами. 

В программе есть переключение на разные языки.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант: от 25 июля 2022:
"FromSiberiaWithLove"
Расширение: .hicrypt
Результаты анализа: VT + IA
Требуется наличие файла Everything32.dll для запуска. 



Вариант от 19 августа 2022:
Расширение: .n3ww4v3
Записка: How-to-decrypt.txt
Email: itsupport831@reddithub.com



Вариант от 12 сентября 2022:
Расширение: .3kfAp
Записка: How-to-decrypt.txt
Email: help@inboxhub.net, support007@mailfence.com



Вариант от 5 октября 2022:
Расширение: .9niOpX
Записка: How-to-decrypt.txt
Email: help@inboxhub.net




Вариант от 5 октября 2022: 
Расширение: .g0eI9
Записка на русском языке: Instructions.txt
Email: secure5555@msgsafe.io
Результаты анализа: VT + VT + AR



Вариант от 7 октября 2022 и позже: 
Расширение: .0v3yT8
Записка: How-to-decrypt.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
Файл: 0v3yT8.06.10.exe
Результаты анализа: VT + TG + IA


Вариант от 30 октября 2022: 
Расширение: .HONESTBITCOIN
Записка: How-to-decrypt.txt
TOX messenger ID: 95CC6600931403C5***
ICQ: @herkonasladok
Skype: HERKONASLADOK DECRYPTION
Email: herkonasladok@onionmail.org



Вариант от 7 ноября 2022:
Расширение: .r0Qp@3M
Записка: Instruction.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
---
Пострадавшие сообщают, что периодически в Блокноте открывается файл Instruction.txt. Этот Ransomware запрещает доступ к Диспетчеру задач, к Поиску, к Кортане, отключает Защитник и Брандмауэр Windows, вносит изменения в реестр, что показывать сообщение "Your virus and threat protection is managed by your organization" (Ваша защита от вирусов и угроз управляется вашей организацией). Также удаляет все параметры питания из меню "Пуск", даже выключение  не работает. Ничего не делается, если набрать команду "shutdown -s -t 0". 





Вариант от 8 ноября 2022:
Может быть расшифрован с помощью дешифровщика вымогателей.
Это подтверждают пострадавшие, уплатившие выкуп и расшифровавшие файлы. 
Расширение: .Fora
Записка: What_happened_read_me.txt 
TOX ID: 95CC6600931***
ICQ: @ONIONHUNTER
Skype: ONIONHUNTER DECRYPTION
Email: onionhunter@onionmail.org




Вариант от 22 ноября 2022:
Расширение: .t4c2ewdqca
Записка: Instruction.txt
Email: help5555@msgsafe.io




Вариант от 29 ноября 2022: 
Расширение: .PORTHUB
Записка: HOW_TO_DECRYPT.txt
TOX: C55A6B53086***
ICQ: @PORTHUB
Skype: PORTHUB DECRYPTION




Вариант от 1 декабря 2022 или раньше: 
Расширение: .1cy931cn9v 
Email: iron@techmail.info, ironsupport@onionmail.org



Вариант от 7 декабря 2022 в течение месяца:
Расширение: .QUIETPLACE
Записка: Decrypt_me.txt
Email: mcdonaldsdebtzhlob@onionmail.org
ICQ: @mcdonaldsdebtzhlob
qTOX: 95CC6600931403C55E***
Skype: MCDONALDSDEBTZHLOB DECRYPTION
Сумма выкупа: 0.1 BTC
Ключи в реестре с текстом вымогателей: 
HKLM\...\Policies\system: [legalnoticecaption]  All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***




Вариант от 17 января 2023: 
Расширение: .bigspermhorseballs
Записка: Bigspermhorseballs_Decryption.txt
Email: Bigspermhorseballs@onionmail.org
ICQ: @Bigspermhorseballs
qTOX: 95CC6600931403C55E***
Skype: Bigspermhorseballs DECRYPTION
IOC: VT


=== 2023 ===

Вариант от 24 января 2023: 
Расширение: .w9lq64h4
Записка: Instruction.txt
Email: temp515@msgsafe.io



Вариант от 21 февраля 2023 или раньше:
Расширение: .h777XRgNVM777xM
Записка: How-to-decrypt.txt
Email: engines-1@tutanota.com
qTox: 6ED6E259AF8BBDBBAD4908B3F64B3E8F15D22CE25BBE24733A7C5B0312DCD346107FDC8FD969




Вариант от 24 февраля 2023 или раньше: 
Расширение: .darth
Записка: README.txt
Email: aegisbackupz@gmail.com



Вариант от 24 февраля 2023 или раньше: 
Расширение: .Indianguy
Записка: INDIANGUY_DECRYPTION.txt
Email: indianguy@onionmail.org
Tox ID: 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65




Вариант от 27 февраля 2023 или раньше:
Расширение: .damarans
Записка: ---IMPORTANT---NOTICE---.txt
Email: damarans@mail.ru, damarans@outlookpro.net




Вариант от 19 марта 2023 или раньше: 
Расширение: .HONEYHORSELIKESMONEY
Записка: info.txt
TOX (qtox): 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ICQ: @Hairysquid
ICQ: @SEXYHORSES
Skype: SEXYHORSES DECRYPTION
Email sexyhorses@onionmail.org




Вариант от 22 марта 2023 или раньше: 
Расширение: .dataland
Email: newdataland@gmail.com


Вариант от 30 марта 2023:
Расширение: .05ru26hw
Записка: Instruction.txt
Email: hackerone@msgden.net, richard.rivera@onionmail.org




Вариант от 8 апреля 2023: 
Расширение: .pisunellakonososeila@onionmail.org
Записка: OMO_OMO_Decryption.txt
Email: pisunellakonososeila@onionmail.org
BTC: bc1qq3e6xklnm9wzp4jg5fal8yx3x6pvr4n9a8mx9a



Вариант от 18 апреля 2023: 
Extension: .ul8dlsj86v
Ransom note: Instruction.txt
Email: it.support@yahooweb.co, datacenter@onionmail.com



Вариант от 1 мая 2023:
Расширение: .vqu73pg24d
Записка: Instruction.txt
Email: head@yahooweb.co, order@cyberfear.com



Варианты от 16 мая и 10 июня 2023:
Расширение: .thaihorsefuckers@onionmail.org
Записка: READ_ME_MY_FRIEND.txt
Email: thaihorsefuckers@onionmail.org
TOX ID: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
ICQ: @THAIHORSEFUCKERS
Skype: THAIHORSEFUCKERS DECRYPTION



Вариант от 19 июня или раньше:
Расширение: .anilorak@onionmail.org
Записка: Anilorak_Decryption.txt
Email: anilorak@onionmail.org, anilorakbest@onionmail.org
ICQ: @Anilorakbest
TOX: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
Skype: Anilorakbest Decryption




Вариант от 29 июля или раньше: 
Расширение: .showrans@mail.ru.show
Записка: ---BILGILENDIRME----NOTU---.txt
Email: showrans@mail.ru

Вариант от 6 августа 2023 или раньше: 
Расширение: .an8uxv2w
Записка: Amigodainapasik_Decryption.txt
Файл: amigo.exe
Пути, расположения: 
C:\Users\Администратор\Desktop\adisable\amigo.exe
C:\Amigodainapasik_Decryption.txt
C:\Users\Администратор\Desktop\AM.zip
C:\Users\Администратор\Desktop\adisable.zip
C:\Users\Администратор\Desktop\adisable\disable_backup.bat

 




Вариант от 18 августа или ранее: 
Расширение: .PISCOSTRUI
Email: piscostrui@onionmail.org
Tox ID: E9164A***
ICQ: @PISCOSTRUI
Skype: PISCOSTRUI DECRYPTION




Вариант от 9 октября 2023:
Расширение: .PANIN
Записка: README.txt
TOX: E9164A982410EFAEBC451C1D5629A***
ICQ: @PANIN
SKYPE: Panin Decryption



Вариант от 21 октября 2023:
Расширение: .PODSTAVLIAIPOPKU
Записка: PODSTAVLIAIPOPKU_DECRYPTION.txt
TOX: E9164A982410EFAEBC451C1D5629A2***
ICQ: @PODSTAVLIAIPOPKU
SKYPE: PODSTAVLIAIPOPKU Decryption



Вариант от 6 декабря 2023:
Расширение: .0nk1udlu
Записка: Instruction.txt
Email: krypto@bingzone.net, krypto111@skiff.com



Вариант от 12 декабря 2023: 
Расширение: .GREEDYFATHER
ICQ: @GREEDYFATHER
SKYPE: GREEDYFATHER Decryption
Email: greedyfather@onionmail.org


Вариант от 24 декабря 2023: 
Расширение: .1000USD
Записка: ----Read-Me-----.txt
Email: yourdata@bk.ru

2024

Вариант от 17 февраля или раньше: 
Расширение: .4ru9b88d70
Записка: Instruction.txt


Вариант от 8 августа 2024:
Расширение: .Jami_decryptionguy
Записка: CONTACT-US.txt
Связь через Jami messenger и TOX messenger 
Выкуп: 0.04-0.05 BTC
Результаты анализа: VT + IA





=== ДЕШИФРОВЩИК = DECRYPTOR ===

Оригинальный дешифровщик выглядит следующим образом. 
Обладание дешифровщиком бесполезно без ключа дешифрования. 







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
Added later: Write-up by TrendMicro (on January 23, 2023)
 Thanks: 
 S!Ri, quietman7, Sandor, al1963
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *