Moneybird

Moneybird Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и организаций Израиля с помощью комбинации алгоритмов AES-256 в режиме GCM (Galois/Counter Mode), а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Moneybird, указано в записке. На файле написано: moneybird.exe или случайное имя. Написан на языке программирования на C++. Используется хакерской группой Agrius. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.37614
BitDefender -> DeepScan:Generic.Ransom.MoneyBird.A.0FE98449
ESET-NOD32 -> Win64/Filecoder.Moneybird.A
Kaspersky -> Trojan-Ransom.Win64.Agent.drb
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/MoneyBird!MTB
Rising -> Ransom.MoneyBird!1.E607 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10beec36
TrendMicro -> Ransom.Win64.DROMINEBY.THFOEBC
---

Обнаружения:
DrWeb -> Trojan.Encoder.37616
BitDefender -> Generic.Ransom.MoneyBird.A.59AFFFA1
ESET-NOD32 -> Win64/Filecoder.Moneybird.A
Kaspersky -> Trojan-PSW.Win64.Stealer.ayc
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Casdet!rfn, Backdoor:Win32/Bladabindi!ml
Rising -> Ransom.MoneyBird!1.E607 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10beec38
TrendMicro -> Ransom.Win64.DROMINEBY.THFOEBC

---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" идентифицирует это как Moneybird. 

Информация для идентификации

Активность этого крипто-вымогателя была в мае 2023 г. Ориентирован на англоязычных пользователей, но направлен только против Израиля.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:

Hello WE ARE MONEYBIRD!

All of your data encrypted!

If u want you to restore them follow this link with in 24H:

hxxxs://ok.ru/profile/589334429901

All of your data will publish in public if u dont contact us.

Alert:

1- Do NOT rename encrypted files.

2- Do NOT try to decrypt your data with using third party software it may cause parmanent data loss and leak.

Перевод записки на русский язык:

Привет, МЫ MONEYBIRD!

Все ваши данные зашифрованы!

Если вы хотите восстановить их, перейдите по этой ссылке в течение 24 часов:

hxxxs://ok.ru/profile/589334429901

Все ваши данные будут опубликованы публично, если вы не свяжетесь с нами.

Предупреждение:

1- НЕ переименовывайте зашифрованные файлы.

2- НЕ пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере и утечке данных.

Вот профиль ОК, который использовался с записке вымогателей. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Хакеры подключаются вручную через RDP. Для загрузки вредоносных файлов для запуска шифрования злоумышленники просто открывают браузер и скачивают их с файлообменников. 

Исследователи Check Point говорят, что злоумышленники первоначально получают доступ к корпоративным сетям, используя уязвимости общедоступных серверов, что дает Agrius начальную точку опоры в сети организации. Затем хакеры прячутся за базирующимися в Израиле узлами ProtonVPN, чтобы развернуть варианты веб-оболочек ASPXSpy, спрятанные внутри текстовых файлов "Certificate" — тактика, которую Agrius использовал в предыдущих вредоносных кампаниях.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений:

.exe, .dll, .lnk, .msi, .sys

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

moneybird.pdb - файл проекта программы-вымогателя; 
moneybird.exe - случайное название вредоносного файла; 

moneybird.zip - перемещаемый в архиве вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\moneybird\x64\Release\moneybird.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

SHA256: aa19839b1b6a846a847c5f4f2a2e8e634caeebeeff7af59865aecca1d7d9f43c

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1a4c31968ff59344a2b77fb5a5196ad4

SHA-1: 52cb3fa9b84665c88caa645e0100ca3ddc5a0bb2

SHA-256: bc58d7ce32f93c74ab8032b19c5af4e45271a54d0071e93f8c4ea0eb23f16c01

Vhash: 066086555d556d15155550f8zb47z37z1011ze5z87z

Imphash: 431d76fa4acc2ccebd298b10fc637d3f

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 005aa97a5b3611810eb6a9e0f9489748

SHA-1: 5edb2e62f89652601721df81e8a4b27e4decbdd7

SHA-256: 891a1ac0ea79bc311ed664bc9fa0afec8f1db115c1cc8bf4c457f60865afd94e

Vhash: 0860ce06551d55551d1d1148zba7z37z1011zd5z87z

Imphash: 0f5e8d6080b1bccc18b27dd257e505d2

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Check Point, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Rancoz

Rancoz Ransomware

Aliases: Recrans, Buddy

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов асимметричного и симметричного шифрования:  NTRUEncrypt + ChaCha20-Poly, а затем требует связаться по email с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.37560
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.GH
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Filecoder
Microsoft -> Ransom:Win64/FileCoder!MSR
Rising -> Ransom.Agent!8.6B7 (TFE:5:Y2TWqSoWumN)
Tencent -> Malware.Win32.Gencirc.10bf015e
TrendMicro -> Ransom.Win64.RECRANS.THEOHBC
---

© Генеалогия: Vice Society? >> Rancoz, Buddy

Сайт "ID Ransomware" Rancoz отдельно пока не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в мая — июне 2023 г., но продолжилась и позже. Распространяются разные, но похожие варианты. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения: 

.rec_rans
.buddyransome

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt

Содержание записки о выкупе:

~~~ Hello! Your company has been hacked! ~~~

>>>> Your data are stolen and encrypted

>>>> What guarantees that we will not deceive you? 

We are not a politically motivated group and we do not need anything other than your money.   

If you pay, we will provide you the programs for decryption and we will delete your data. 

Life is too short to be sad. Be not sad, money, it is only paper.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

>>>> You need to contact us by email rec_rans@aol.com and decrypt some files for free

>>>> The data will be published on TOR website if you do not pay the ransom 

Download and install TOR Browser https://www.torproject.org/ 

Links for Tor Browser:

hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion 

>>>> Your personal ID:

708D02E60E8B38510DB352F3735E900747B1A8857DCBF6DE7A5814F7B8FC1C

***

>>>> Provide your personal ID in the email

>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

>>>> Warning! If you do not pay the ransom we will attack your company repeatedly again!

Перевод записки на русский язык:

~~~ Привет! Вашу компанию взломали! ~~~

>>>> Ваши данные украдены и зашифрованы

>>>> Какие гарантии, что мы вас не обманем?

Мы не политически мотивированная группа, и нам ничего не нужно, кроме ваших денег.

Если вы заплатите, мы предоставим вам программы для дешифровки и удалим ваши данные.

Жизнь слишком коротка, чтобы грустить. Не грустите, деньги, это всего лишь бумага.

Если мы не предоставим вам дешифровщики или не удалим ваши данные после оплаты, то нам никто не заплатит.

Поэтому для нас очень важна наша репутация. Мы атакуем компании по всему миру, и после оплаты не будет ни одной недовольной жертвы.

>>>> Вам необходимо связаться с нами по email rec_rans@aol.com и бесплатно расшифровать некоторые файлы.

>>>> Данные будут опубликованы на сайте TOR, если вы не заплатите выкуп.

Скачайте и установите браузер TOR: https://www.torproject.org/

Ссылки на браузер Tor:

hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion

>>>> Ваш персональный ID:

***

>>>> Укажите свой персональный ID в письме.

>>>> Внимание! Не УДАЛЯЙТЕ и НЕ ИЗМЕНЯЙТЕ файлы, это может привести к проблемам с восстановлением!

>>>> Внимание! Если вы не заплатите выкуп, мы снова будем атаковать вашу компанию!

Информатором жертвы также является изображение с кратким текстом, заменяющее обои Рабочего стола: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует файлы с расширениями: 
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .drv, .exe, .hlp, .hta, .icns, .ico, .ics, .idx, .lnk .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .sys, .theme, .themepack, .wpx,

Пропускает, не шифрует следующие папки: 

$RECYCLE.BIN        

Avast, Avira, COMODO, Chrome, Common Files, Common7, 

Dell,Dr.Web, ESET, Firefox,

Install Shield Installation Information, Intel, Internet Explorer, 

Kaspersky Lab, McAfee, 

Microsoft, Microsoft Help, Microsoft SDKs, Microsoft Shared, Microsoft VS Code,Microsoft Visual Studio, Microsoft.NET, MovieMaker, Mozilla, Mozilla Firefox,

NVIDIA Corporation, Opera, 

Package Cache, Packages, Reference assemblies,

Spytechsoftware, Symantec, Symantec Client Security, sysconfig, System Volume Information, Temp,

Windows, Windows App Certification Kit, Windows Defender Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows NT, Windows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, Windows Security Windows Sidebar WindowsApps,WindowsPowerShell, Wsus, 

Yandex Browser

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа;
noise.bmp - изображение, заменяющее обои Рабочего стола; 

<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion

Email: rec_rans@aol.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: 8d9f3e223f8d5e350b87dc0908fee0a5 

SHA-1: 9fe3060e5cbe3a9ab6c3fb3dee40bd6cd385a6f6 

SHA-256: b95a4443bb8bff80d927ac551a9a5a5cfac3e3e03a5b5737c0e05c75f33ad61e 

Vhash: 0150976d1555551c0d1d1075zb004a275z27z3011z65z27z 

Imphash: 2825ea409a6656bb0fee4eaa43c75e09

---

IOC: VT, HA, IA, TG, AR

MD5: 97b55eb62ff8541c384312c705789d26 

SHA-1: 9e600ee964b5ff8cf5190c3817e9fc53688e0d4c 

SHA-256: d5e632836622d52c91e4ef059e9124184fceaf85783278880797f788ce141588 

Vhash: 0150976d1555551c0d1d1075zb004a275z27z3011z65z27z 

Imphash: 2825ea409a6656bb0fee4eaa43c75e09

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vice Society Ransomware - июнь 2021

Vice Society NextGen - 2021-2023

Rancoz Ransomware - май 2023

Buddy Ransomware - июнь 2023

Rancoz NextGen - 2023-2025

Titan Ransomware - май-июнь 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Cyble, Fortinet, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Black Suit

Black Suit Ransomware

BlackSuit Ransomware

BlackSuit Hacking Group

Pipi-Encryptor Ransomware

(шифровальщик-вымогатель, хакерская группа) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: sys32.exe. Есть версии для Windows и Linux. 
---
Обнаружения:

Версия для Windows: 
DrWeb -> Trojan.Encoder.37627
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.ONZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Ransom.FileCryptor.DDS
Microsoft -> Ransom:Win32/BlackSuit.B
Rising -> Trojan.Generic@AI.96 (RDML:35*

Symantec -> Ransom.Blacksuit
Tencent -> Malware.Win32.Gencirc.10bee04d
TrendMicro -> Ransom.Win32.BLACKSUIT.THEODBC
---

Версия для Linux: 

DrWeb -> Linux.Encoder.347

BitDefender -> Trojan.Linux.Generic.298134

ESET-NOD32 -> Linux/Filecoder.Royal.B

Kaspersky -> HEUR:Trojan-Ransom.Linux.BlackSuit.a

Microsoft -> Ransom:Linux/BlackSuit.A!MTB

Rising -> Ransom.Royal/Linux!8.178F6 (TFE:16:MAvZS76wLbO)

Symantec -> Ransom.Blacksuit

Tencent -> Linux.Trojan-Ransom.Blacksuit.Xmhl

TrendMicro -> Ransom.Linux.BLACKSUIT.THEODBC

© Генеалогия: ✂ Royal Ransomware => BlackSuit

Знак "=>" обозначает переход на другую разработку. 

Сайт "ID Ransomware" идентифицирует BlackSuit со второй половины июля 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале мая 2023 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 

.BlackSuit

.blacksuit

Записка с требованием выкупа называется: README.BlackSuit.txt

Содержание записки о выкупе:

Good whatever time of day it is!

Your safety service did a really poor job of protecting your files against our professionals.

Extortioner named  BlackSuit has attacked your system.

As a result all your essential files were encrypted and saved at a secure serverfor further useand publishing on the Web into the public realm.

Now we have all your files like: financial reports, intellectual property, accounting, law actionsand complaints, personal filesand so onand so forth.

We are able to solve this problem in one touch.

We (BlackSuit) are ready to give you an opportunity to get all the things back if you agree to makea deal with us.

You have a chance to get rid of all possible financial, legal, insurance and many others risks and problems for a quite small compensation.

You can have a safety review of your systems.

All your files will be decrypted, your data will be reset, your systems will stay in safe.

Contact us through TOR browser using the link:

hxxx://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd.onion/?id=MCowBQYD***

Перевод записки на русский язык:

Хорошего времени суток! 

Ваша служба безопасности очень плохо защищала ваши файлы от наших профессионалов.

Вымогатель по имени BlackSuit атаковал вашу систему.

В результате все ваши важные файлы были зашифрованы и сохранены на защищенном сервере для дальнейшего использования и публикации в Сети в открытом доступе.

Теперь у нас есть все ваши файлы: финансовые отчеты, интеллектуальная собственность, бухгалтерская отчетность, судебные иски и жалобы, личные дела и т.д. и т.п.

Мы можем решить эту проблему в одно касание.

Мы (BlackSuit) готовы предоставить вам возможность получить все обратно, если вы согласитесь заключить с нами сделку.

У вас есть шанс за совсем небольшое вознаграждение избавиться от всех возможных финансовых, юридических, страховых и многих других рисков и проблем.

Вам будет сделана проверка безопасности ваших систем.

Все ваши файлы будут расшифрованы, данные сброшены, системы останутся в безопасности.

Свяжитесь с нами через браузер TOR по ссылке:

***

Скриншоты сайта вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Вымогателями используются следующие общедоступные инструменты:

- для кражи учетных данных Mimikatz;

- инструменты для сбора паролей от Nirsoft; 

- программы для удаленного доступа AnyDesk, LogMein, Atera Agent;

- инструменты сетевого туннелирования Chisel и Cloudflared;

- клиенты Secure Shell (SSH), OpenSSH, MobaXterm для установления SSH-соединений. 

CISA и ФБР полагают, что сходство между двумя семействами программ-вымогателей указывает либо на потенциальный ребрендинг Royal, либо на дополнительный вариант.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключений: 

файлы с расширениями: .cmd, .bat, .com, .exe, .dll

README.BlackSuit.txt

Файлы, связанные с этим Ransomware:
README.BlackSuit.txt, README.blacksuit.txt - названия файлов с требованием выкупа;
sys32.exe - название вредоносного файла; 

encryptor.pdb - название проекта вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\pipi-\source\repos\encryptor\Release\encryptor.pdb

Скриншоты кода:

 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

1) Версия для Windows:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 748de52961d2f182d47e88d736f6c835

SHA-1: 30cc7724be4a09d5bcd9254197af05e9fab76455

SHA-256: 90ae0c693f6ffd6dc5bb2d5a5ef078629c3d77f874b2d2ebd9e109d8ca049f2c

Vhash: 026056655d155560f3z72z781z2dz23z44z1c7z

Imphash: 11fc1edb442e257617e8672be635a02f

2) Версия для Linux:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9656cd12e3a85b869ad90a0528ca026e

SHA-1: 861793c4e0d4a92844994b640cc6bc3e20944a73

SHA-256: 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e

Vhash: c8e83a6d94dd79c599a0718fd88decf7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новость августа 2024:

BlackSuit потребовал выкуп на сумму более 500 миллионов долларов. 

Статья об этом на сайте BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 TrendMicro, BleepingComputer
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Enmity

Enmity Ransomware

Variants: Mammon

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256-GCM и RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Enmity Ransomware, указано в записке. На файле написано: net.exe или что-то другое. Использует библиотеку Crypto++. Бесплатного дешифровщика нет, даже при его наличии для расшифровки нужен главный или сеансовый закрытый ключ, а он есть только у вымогателей. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.37506
BitDefender -> Gen:Variant.Tedy.342926
ESET-NOD32 -> A Variant Of Win32/Filecoder_AGen.H
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.Generic@AI.94 (RDML:k1Y8+QjM***
Tencent -> Win32.Trojan.Agen.Bdhl
TrendMicro -> TROJ_GEN.R002C0PDO23
---

© Генеалогия: ✂ Ouroboros, FonixCrypter modified >> Enmity

Сайт "ID Ransomware" это идентифицирует как Enmity (с 5 октября 2023). 

Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля 2023 г. и продолжилась после. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется случайное расширение по шаблону .<RANDOM{6}>

Исходное имя файла сохраняется в конце каждого зашифрованного файла, поэтому можно узнать, какой это был файл до шифрования. В более новых вариантах эта возможность может быть исключена. 

Примеры:

.A0MWPI

.EDLORV

.VXDQMK

Фактически используется составное расширение по шаблону: <random-code>-Mail[<email>]ID-[<ID>].<RANDOM{6}>

Примеры:

ZoCiHvcNBRFQPVk-Mail[iwillhelpyou99@zohomail.eu]ID-[40625478186351].A0MWPI

sgAXJeMSYfrUIzd-Mail[iwillhelpyou99@zohomail.eu]ID-[40625478186351].EDLORV

wDNkrZaTKLfOMQW-Mail[iwillhelpyou99@zohomail.eu]ID-[40625478186351].VXDQMK

Записка с требованием выкупа называется: Enmity-Unlock-Guide.txt

Содержание записки о выкупе:

Your Files Have Been Locked With  Enmity Ransomware

you have to pay Bitcoin for Unlock Process

you can send a little file (less than 1 or 2 mb) for Decryption test (if we assume file is important we may ask you to Send another one)

Contact Us and Pay and get Decryption

Contact Our Email:iwillhelpyou99@zohomail.eu

in Case of no reply from Email send message to my telegram  id below

Telegram ID:@Recoveryhelper

Your ID:406254781*****

Перевод записки на русский язык:

Ваши файлы были заблокированы Enmity Ransomware

вы должны заплатить биткойн за процесс разблокировки

вы можете прислать небольшой файл (менее 1 или 2 мб) для тест-расшифровки (если мы решим, что файл важен, мы можем попросить вас отправить еще один)

Свяжитесь с нами и заплатите и получите расшифровку

Свяжитесь с нами по Email: iwillhelpyou99@zohomail.eu

если нет ответа по Email отправьте сообщение на мой telegram id ниже

Telegram ID: @Recoveryhelper

Ваш ID:406254781****

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Enmity-Unlock-Guide.txt - название файла с требованием выкупа;

net.exe, nonet.exe, enmity.exe - названия файлов вымогателя; 

Enmity.pdb - файл проекта; 

Everything.exe - файл, используемый вымогателями; 

Key.secret - файл с главным ключом (файл важен для расшифровки файлов, без него расшифровка невозможна). 

RSAdecr.keys - специальный файл, в который сохраняется информация о зашифрованном закрытом RSA-ключе; 

Информация о жертве зашифрована в файле Key.secret и вымогатели увидят ее, когда им отправят файл для тест-расшифровки. Даже они не смогут расшифровать файлы без этого файла.

Папки KeyForFiles или keyforunlock.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\KeyForFiles\DecryptionKey.txt

C:\KeyForFiles\Key.secret

C:\KeyForFiles\RSAdecr.keys

C:\KeyForFiles\Key.txt

E:\Rns for being rich\Enmity\Release\Enmity.pdb

Записи реестра, связанные с этим Ransomware:

HKEY_CURRENT_USER\SOFTWARE\Enmity

HKEY_CURRENT_USER\SOFTWARE\Enmity\pubkey

HKEY_CURRENT_USER\SOFTWARE\Enmity\ID

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: iwillhelpyou99@zohomail.eu
Telegram: @Recoveryhelper

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: eff776dee6b37897f2b727bc9f029470

SHA-1: 6a17cf16a872e9ed38b88851110e8d87325b0da7

SHA-256: 0c4607e6f1cc4bc8222962319c616f2f9a494805874e8fe7a89f2bbaced11f25

Vhash: 095046655d556078z8crz4bz

Imphash: ce84ed78c2762757f70e2e7427e36724

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 16 мая 2023: 

Сообщение на форуме >>

Записка: Unlock-Guide.txt

Шаблон зашифрованного файла: <random-code>-Mail[<email>]ID-[<ID>].<RANDOM{5}>

Примеры зашифрованного файла: 

nzJWVtKAUaGBIhm-Mail[LabsDecode@gmail.com]ID-[59706441910328].UM0GS

xIvyLJFaDjNcEtC-Mail[LabsDecode@gmail.com]ID-[17853501842960].SXGRV

IOC: VT, IA, TG

Обнаружения: 

BitDefender -> Gen:Variant.Doina.57152

DrWeb -> Trojan.Encoder.37499

ESET-NOD32 -> A Variant Of Win32/Filecoder.Enmity.A

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Malware.AI.1941215356

Microsoft -> Trojan:Win32/Wacatac.B!ml

Rising -> Ransom.Generic!8.E315 (TFE:5:6nJdwMG4b8R)

Tencent -> Malware.Win32.Gencirc.10beb7fb

TrendMicro -> Ransom_Limbozar.R011C0PEM23

Вариант от 19 декабря или раньше: 

Расширение: .un89xl

Пример зашифрованного файла: 

u9xsgkbwz2t4he0-Mail(itservicerec@zohomail.eu)-ID(10869936441538).un89xl

Записка: Decryption-guide.txt

Telegram ID: @HelpRecova

Email: itservicerec@zohomail.eu

=== 2024 ===

Вариант от 8 апреля 2024: 

Telegram: @Datarecovery99

IOC: VT, IA, TG

MD5: abafbc01746ff15824a4fb94d1b96ff9 

SHA-1: e147cda8d32bdae9c2eebbccdde4687e931b25e6 

SHA-256: c086cbcfcc44f5d44b9900ca6b95b7f17ea3d3f117437e44ecdc68cc9eddfa19 

Vhash: 085046655d556078z8c!z 

Imphash: 471c9cb381ace9ac7435dc8716595aa0

---

Обнаружения: 

DrWeb -> Trojan.Encoder.38856

ESET-NOD32 -> A Variant Of Win32/Filecoder.Enmity.C

Microsoft -> Trojan:Win32/Phonzy.A!ml

Rising -> Ransom.Enmity!8.18375 (TFE:5:kP7FSiho9zL)

Symantec -> Ransom.Enmity

TrendMicro -> TROJ_GEN.R03BC0PDE24

Вариант от 12 мая 2024: 

Сообщение на форуме >>

Расширение: .t42q6f

Пример зашифрованного файла: rfb4tm69yo71g3w-Mail(help.file@zohomail.eu)-ID(240194718953127).t42q6f

Записка: Decryption-guide.txt

Email: help.file@zohomail.eu

Файл: enmity.exe

Вариант от 5 июня 2024 или раньше: 

Сообщение в почте. 

Расширение: .VIH0ON

Пример зашифрованного файла: 0WkRSVTrDOCgUIv-Mail[Gilbertdecsupp@gmail.com]ID-[81245077403132].VIH0ON

Записка: Decryption-guide.txt

Email: Gilbertdecsupp@gmail.com

Файл: enmity.exe

Вариант от 17 июля 2024: 

Сообщение на форуме >>

Шаблон зашифрованного файла: <random-code>-Mail[<email>]ID-[<ID>].<RANDOM{5}>

Примеры зашифрованных файлов: 

0OLzTdEIuNaSMcF-Mail[Gilbertdecsupp@gmail.com]ID-[58044639152239].LOYRFM

AFatxWy0dRHMnkr-Mail[Gilbertdecsupp@gmail.com]ID-[58044639152239].ZFCMOL

Записка: INFO.txt

Email-1: Gilbertdecsupp@gmail.com

Email-2: Eliezerdecs@onionmail.com

Telegram: hxxxs://t.me/supenm***

Вариант от 12 августа 2024:

Новое название: Mammon Ransomware. 

Mammon шифрует большие файлы дважды.

Расширение: .lock

Составное расширение (шаблон): .Mail-[<email>]ID-[<ID>].lock

Составное расширение (пример): .Mail-[mammoncomltd@gmail.com]ID-[T5UK770ZH8].lock

Записка: READ.txt

Telegram: @Mammondec

Email: mammoncomltd@gmail.com

Специальные файлы: 

C:\RSADecryptKey

C:\RSADecryptKey\ID.DAT

C:\RSADecryptKey\KEY.DAT

C:\RSADecryptKey\KEY.txt

C:\RSADecryptKey\Public.txt

C:\Users\User\Desktop\CRYPTSP.dll

IOC: VT, IA

Обнаружения: 

BitDefender -> Trojan.GenericKD.73833489

ESET-NOD32 -> A Variant Of Win32/Filecoder.ORH

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.Filecoder

Microsoft -> Ransom:Win32/MammonRansom.YAA!MTB

Rising -> Ransom.Crypren!8.1D6C (C64:YzY0Ol766x7B5La9)

Tencent -> Malware.Win32.Gencirc.10c030de

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support-1, Topic of Support-2
 ***

 Thanks: 
 Michael Gillespie, rivitna
 Andrew Ivanov (article author)
 al1963
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.