Rincrypt

Rincrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует написать на email вымогателей, чтобы купить дешифратор и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: testencrypts.exe, Encrypts.exe или что-то еще. Написан на языке программирования Python. 
---
Обнаружения:
DrWeb -> Python.Encoder.200
BitDefender -> Generic.Ransom.PyCL.A.C5D378FE
ESET-NOD32 -> Python/Filecoder.AFB
Kaspersky -> Trojan-Ransom.Win32.Crypren.ajxt
Malwarebytes -> Ransom.FileCryptor.Python
Microsoft -> Trojan:Win32/Acll
Tencent -> Win32.Trojan-Ransom.Crypren.Itgl
TrendMicro -> TROJ_GEN.R002H09LE24
---

© Генеалогия: родство выясняется >> Rincrypt

Сайт "ID Ransomware" это пока не идентифицирует.

Информация для идентификации

Образец этого крипто-вымогателя был загружен в начале апреля 2024 г. Ориентирован на англоязычных пользователей. Ничего неизвестно о распространении, возможно, что это тестовый образец. 

К зашифрованным файлам добавляется расширение: .rincrypt

Записка с требованием выкупа называется: READ THIS.txt

Содержание записки о выкупе:
All of your files have been encrypted. send email here nevorah775@dacgu.com and buy decryptor.

Перевод записки на русский язык:
Все ваши файлы зашифрованы. шлите email на nevorah775@dacgu.com и купите дешифратор.



✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ THIS.txt - название файла с требованием выкупа;
testencrypts.exe, Encrypts.exe - названия вредоносного файла; 

achj.exe, elgvsp.exe, rhuovksx.exe, nxgzfcr.exe, uyso.exe - случайные названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\AppData\Local\Temp\Encrypts.exe

C:\ebck\rhuovksx.exe

C:\hizkckr\nxgzfcr.exe

C:\kytvqx\uyso.exe

C:\mxgpnf\elgvsp.exe

C:\vanr\achj.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nevorah775@dacgu.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG 

MD5: f597e89ea210b3009ccd5193142e2111 

SHA-1: c2742f672597a9950dcd58a9e190864b9912913e 

SHA-256: 265db2cb4ed90260f5b245d475510d005476eaeb967ab8e8b4959aba92e97e81 

Vhash: 017076655d15551555504013z30066mz11fz 

Imphash: 1af6c885af093afc55142c2f1761dbe8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

REDCryptoApp

REDCryptoApp Ransomware

REDCryptoApp Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует заплатить выкуп, чтобы украденные хакерами данные не были опубликованы. Оригинальное название: REDCryptoApp. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> REDCryptoApp

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля - начале марта 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших крупные компании в США и Европе. 

К зашифрованным файлам добавляется расширение: .REDCryptoApp

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.REDCryptoApp.txt

Содержание записки о выкупе:

Attention!

----------------------------

| What happened?

----------------------------

We hacked your network and safely encrypted all of your files, documents, photos, databases, and other important data with reliable algorithms.

You cannot access your files right now, But do not worry You can get it back! It is easy to recover in a few steps.

We have also downloaded a lot of your private data from your network, so in case of not contacting us these data will be release publicly.

Everyone has a job and we have our jobs too, there is nothing personal issue here so just follow our instruction and you will be ok.

Right now the key of your network is in our hand now and you have to pay for that.

Plus, by paying us, you will get your key and your data will be earse from our storages and if you want you can get advise from us too, in order to make your network more than secure before.

----------------------------

| How to contact us and get my files back?

----------------------------

The only method to decrypt your files and be safe from data leakage is to purchase a unique private key which is securely stored in our servers.

To contact us and purchase the key you have to get to the link below :

Onion Link : 

hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login

Hash ID : iuemspodbry***

!Important! : This is a unique link and hash for your network so don't share these with anyone and keep it safe.

----------------------------

| How to get access to the Onion link ?

----------------------------

Simple :

1- Download Tor Browser and install it. (Official Tor Website : torproject.org)

2- Open Tor Browser and connect to it.

3- After the Connection, Enter the Onion Link and use your Hash ID to login to your panel.

----------------------------

| What about guarantees?

----------------------------

We understand your stress and worry.

So you have a FREE opportunity to test a service by instantly decrypting for free some small files from your network.

after the payment we will help you until you get your network back to normal and be satesfy.

Dear System Administrators,

Do not think that you can handle it by yourself.

By hiding the fact of the breach you will be eventually fired and sometimes even sued.

Just trust us we've seen that a lot before.

----------------------------

| Follow the guidelines below to avoid losing your data:

----------------------------

!Important!

 -Do not modify or rename encrypted files. You will lose them.

 -Do not report to the Police, FBI, EDR, AV's, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything.

 -Do not hire a recovery company. They can't decrypt without the key. They also don't care about your business. They believe that they are smarter than us and they can trick us, but it is not. They usually fail. So speak for yourself.

 -Do not reject to purchase, Exfiltrated files will be publicly disclosed.

!Important!

-------------------------------------------------------------------------------

Перевод записки на русский язык:

Внимание!

----------------------------

| Что случилось?

----------------------------

Мы взломали вашу сеть и надежно зашифровали все ваши файлы, документы, фотографии, базы данных и другие важные данные с помощью надежных алгоритмов.

Вы не можете получить доступ к своим файлам прямо сейчас, но не волнуйтесь, вы можете получить их обратно! Легко восстановиться за несколько шагов.

Мы также загрузили много ваших личных данных из вашей сети, поэтому, если вы не свяжетесь с нами, эти данные будут опубликованы публично.

У каждого есть работа, и у нас тоже есть работа, здесь нет ничего личного, так что просто следуйте нашим инструкциям, и все будет в порядке.

Прямо сейчас ключ от вашей сети находится в наших руках, и вам придется за это заплатить.

Кроме того, заплатив нам, вы получите свой ключ, и ваши данные будут удалены из наших хранилищ, и, если вы хотите, вы также можете получить от нас консультацию, чтобы заранее сделать вашу сеть более чем безопасной.

----------------------------

| Как связаться с нами и вернуть мои файлы?

----------------------------

Единственный способ расшифровать ваши файлы и обезопасить себя от утечки данных — это приобрести уникальный закрытый ключ, который надежно хранится на наших серверах.

Чтобы связаться с нами и приобрести ключ, вам необходимо перейти по ссылке ниже:

Ссылка на Onion:

hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/99c0d8f3e55abe9594b665/v8GyukYzp3g2n/login

Hash ID: iuemspodbry***

!Важно! : это уникальная ссылка и хеш для вашей сети, поэтому никому не передавайте их и храните в безопасности.

----------------------------

| Как получить доступ к ссылке Onion?

----------------------------

Простой :

1- Загрузите Tor Browser и установите его. (Официальный сайт Tor: torproject.org)

2- Откройте браузер Tor и подключитесь к нему.

3. После подключения введите луковую ссылку и используйте свой хэш-идентификатор для входа в свою панель.

----------------------------

| А как насчет гарантий?

----------------------------

Мы понимаем ваш стресс и беспокойство.

Таким образом, у вас есть БЕСПЛАТНАЯ возможность протестировать сервис, мгновенно бесплатно расшифровав несколько небольших файлов из вашей сети.

после оплаты мы будем помогать вам, пока вы не вернете свою сеть в нормальное состояние и не будете удовлетворены.

Уважаемые системные администраторы,

Не думайте, что вы сможете справиться с этим самостоятельно.

Если вы скроете факт нарушения, вас в конечном итоге уволят, а иногда даже подадут в суд.

Просто поверьте нам, мы видели это много раз раньше.

----------------------------

| Следуйте приведенным ниже рекомендациям, чтобы не потерять свои данные:

----------------------------

!Важно!

  -Не изменяйте и не переименовывайте зашифрованные файлы. Вы потеряете их.

  - Не сообщайте в полицию, ФБР, EDR, AV и т. д. Им плевать на ваш бизнес. Вам просто не дадут заплатить. В результате вы потеряете все.

  - Не нанимайте компанию по восстановлению. Без ключа они не смогут расшифровать. Им также плевать на ваш бизнес. Они считают, что они умнее нас и могут нас обмануть, но это не так. Обычно они терпят неудачу. Так что говорите за себя.

  - Не отказывайтесь от покупки. Украденные файлы будут опубликованы.

!Важно!

Список жертв на сайте вымогателей:

Пострадавшие сообщают, что это список не менялся с конца февраля. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.REDCryptoApp.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://33zo6hifw4usofzdnz74fm2zmhd3zsknog5jboqdgblcbwrmpcqzzbid.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 alex_jvg
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SecuredMe

SecuredMe Ransomware

ShellLocker 2024 Ransomware

Aliases: Dragon434, ShellLocker

(шифровальщик-вымогатель, блокировщик экрана) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и блокирует к ним доступ, а затем требует выкуп в $50, чтобы разблокировать ПК и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: lock.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.50
BitDefender -> Gen:Variant.MSILHeracles.35217
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen
Malwarebytes -> Ransom.ShellLocker
Microsoft -> Ransom:MSIL/FileCryptor.PE!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Msil.Trojan.Locker.Njgl
TrendMicro -> Ransom.MSIL.SHELLLOCKER.SMTH
---

© Генеалогия: ShellLocker (2016) >> SecuredMe (Dragon434)

Сайт "ID Ransomware" идентифицирует это как ShellLocker по известному с 2016 года расширению. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце февраля 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .L0cked

Название зашифрованного файла вместе с расширением изменяется, примеры таких файлов:

5EnX.L0cked

UQ$I&t.L0cked

Текст с требованием выкупа написан на экране блокировки: 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Этот крипто-вымогатель блокирует горячие клавиши, чтобы пострадавший пользователь не мог закрыть окно блокировщика или переключиться на другие окна. 

Список типов файлов, подвергающихся шифрованию:
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, 

Это документы MS Office, PDF, текстовые файлы, базы данных MS Access, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
lock.exe - название вредоносного файла;

svchost.exe - файл блокировщика экрана, добавляется в Автозагрузку.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: securedme@dnmx.org

Tor-URL: dragon434pnhqvzhv764bzsguroslimv4kpwtt5gp55dsg53stnoumid.onion
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Morok

Morok Ransomware

MorokTeam Ransomware

Aliases: M0r0k, Sunset Wolf

(шифровальщик-вымогатель, хакерская группа) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель используется хакерской группой MorokTeam для шифрования данные бизнес-пользователей, а затем они требуют связаться по email с вымогателями, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: Morok Ransomware. На файле написано: registry32. Написан при помощи Python и использует алгоритм Fernet для рекурсивного шифрования файлов. Деятельность хакерской группы обнаружена экспертами из Angara Security. 
---
Обнаружения:
DrWeb -> Python.Encoder.188
BitDefender -> позорно не обнаруживает
ESET-NOD32 -> позорно не обнаруживает

Fortinet -> Python/Filecoder.MY!tr.ransom
Kaspersky -> ***
Malwarebytes -> позорно не обнаруживает
Microsoft -> позорно не обнаруживает
Rising -> ***
Tencent -> ***
TrendMicro -> позорно не обнаруживает
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность русскоязычной хакерской группы, разработавшей свой крипто-вымогатель, была замечена с ноября 2023 г. Ориентирован на российские организации и предприятия, потому с наибольшей степенью вероятности, хактивисты действуют из враждебно настроенной страны — Украины. 

К зашифрованным файлам никакое расширение пока не добавляется, но в начало зашифрованного файла добавляется строка MR !

Смотрите примеры строки в зашифрованных файлах: 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

IF YOU CLOSE THIS WINDOWS YOUR FILES WILL BE ENCRYPTED FOREVER

---

Your files are encrypted

Contact to MorOk Team to get Decrypt Key

m0r0kt34m@gmail.com

Перевод записки на русский язык:

ЕСЛИ ЗАКРОЕТЕ ЭТО ОКНО, ВАШИ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА

---

Ваши файлы зашифрованы

Контакт с MorOk Team, чтобы получить ключ расшифровки

m0r0kt34m@gmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

После проникновения атакующие создают учётные записи, добавляемые затем в привилегированные группы. Названия этих учётных данных должны быть похожи на фамилии действующих сотрудников. 

Для закрепления в скомпрометированной сети и коммуникации с сервером управления с помощью утилиты ngrok выполняется проброса порта 3389 (RDP), что позволяет открыть доступ к внутренним ресурсам машины.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
registry32 - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0r0kt34m@gmail.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 24e39519ee702cb2a6656cd03f4b9b0c 

SHA-1: 72e82b1ae36c84a966351b53c3d8f06d603f783b 

SHA-256: 762237bf9f23bd83e6e5bc156781dd0b68f6405402687d927c1b94c99afef56e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Angara Security, petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Wing, ImmaLocker

Wing Ransomware

Variants: ImmaLocker, Sanalock, Poraton

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA+ChaCha20, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп в биткоинах и вернуть файлы. Оригинальное название: в записке не указано, но известно начальное название: Wing Ransomware. На исполняемом файле написано: taskhostw.exe или что-то еще. Распространитель: blackhunt. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38568
BitDefender -> Trojan.GenericKD.71473164

Emsisoft -> Trojan.GenericKD.71473164 (B)

ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Binder.Trojan.Dropper.DDS
Microsoft -> Trojan:MSIL/FileCoder.ARA!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf949d
TrendMicro -> Ransom.MSIL.WING.THACOBD
---

© Генеалогия: BlackHeart >> BlackHeart NextGen > BlackLegion и другие > Wing >> ImmaLocker, Sanalock, Poraton и другие

Сайт "ID Ransomware" это пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя началась с конца января 2024 г. Первоначальный файл был скомпилирован 21 января 2024. В марте было найдено еще несколько вариантов с разными элементами вымогательства. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди первых пострадавших — пользователи из России. 

К зашифрованным файлам добавляется одно из следующих расширений: 

.wing

.ImmaLocker

.Sanalock

.Poraton

Фактически используется составное расширение по шаблону: .<email_ransom>.<ID{12}>.<extension>

При этом контакты в Telegram, email и новое расширение меняются по желанию нового вымогателя, купившего исходный файл Wing Ransomware. 

Примеры зашифрованных файлов: 

document.txt.Wingransomware@test.com.ATQRF8PRLFRO.wing

document.txt.ImmaLocker@cyberfear.com.AQFI5SCXC1KA.ImmaLocker

document.txt.Sanalock@cyberfear.com.MSCJZBDVWQVM.Sanaloc

document.txt.Poraton_Support@Cyberfear.com.K8YJPZZBOGRG.Poraton

Записка с требованием выкупа называется: Readme.txt

Содержание записки о выкупе:

Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !

* Please read this message carefully and patiently *

* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !

* Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !

* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge. Please note that your files should not contain important information. Your files should be in a format that we can read, such as .txt, .pdf, .xlsx, .jpg, or any other readable format for us.

Please put your Unique ID as the title of the email or as the starting title of the conversation.

* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *

Telegram Id : wing_ransomware_test

Mail 1 : wingransomware@test.com

Mail 2 : wingransomware2@test.com

You will receive btc address for payment in the reply letter

--------------------------------

! Important !

Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!

Plеаsе nоte that we are professionals and just doing our job !

Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !

UniqueID: XXXXXXXXXXXX

PersonalID: ***

Перевод записки на русский язык:

Ваша система зашифрована нашей командой, а ваши файлы блокированы с использованием нашего запатентованного алгоритма!

* Пожалуйста, внимательно и терпеливо прочтите это сообщение *

* Если вы используете какие-либо инструменты, программы или методы для восстановления ваших файлов и они повредятся, мы не несем ответственности за любой вред вашим файлам!

* Обратите внимание, что ваши файлы никоим образом не пострадали, они только были зашифрованы нашим алгоритмом. Ваши файлы и вся ваша система вернутся в нормальный режим с помощью программы, которую мы вам предоставляем. Никто, кроме нас, не сможет расшифровать ваши файлы!

* Чтобы завоевать доверие к нам, вы можете отправить нам максимум 2 не важных файла, и мы бесплатно их расшифруем. Обратите внимание, что ваши файлы не должны содержать важной информации. Ваши файлы должны быть в формате, который мы можем прочитать, например .txt, .pdf, .xlsx, .jpg или любом другом читаемом для нас формате.

Пожалуйста, укажите ваш Unique ID в качестве заголовка email или в качестве начального заголовка беседы.

* Для более быстрой расшифровки сначала напишите нам в Telegram. Если в течение 24 часов нет ответа, напишите нам *

Telegram Id : wing_ransomware_test

Mail 1 : wingransomware@test.com

Mail 2 : wingransomware2@test.com

В ответном письме вы получите btc-адрес для оплаты.

--------------------------------

! Важно !

Пожалуйста, не теряйте времени и не пытайтесь нас обмануть, это приведет только к повышению цены!

Обращаем ваше внимание, что мы профессионалы и просто делаем свою работу!

Мы всегда открыты для диалога и готовы Вам помочь!

Исходя из контактов, можно заключить, что этот файл не предназначался для вымогательства, а был тестовым образцом. Следующие образцы добавлены ниже основной статьи. В каждом из них, в тексте вымогателей есть заголовок, в котором указано своё название. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Начальное распространение на форумах Даркнета, в частности на форуме DailyDarkWeb. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:

.exe, .msi, .dll

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
taskhostw.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\LockBIT\

C:\LockBIT\systemID

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\taskhostw

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram (фиктивный контакт): wing_ransomware_test

Email (фиктивные контакты): wingransomware@test.com, wingransomware2@test.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 863d4e0cab90ec8f20290da01e12cfee 

SHA-1: 6faf5098fdbc081bc0e479c33d13e3391b3c7ead 

SHA-256: 34c899b4970c2fc2cab0ddc1d4d6b4ac8181b0cdf71cd3832e1b817b8e1930d4 

Vhash: 215036151511e09811f0027 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BlackRouter Ransomware - апрель 2018

BlackHeart Ransomware - апрель 2018

другие варианты - 2018-2023

BlackLegion Ransomware - ноябрь 2023

Wing Ransomware - январь 2024

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4-5 марта 2024 или раньше: 

Собственное название: ImmaLocker Ransomware

Сообщение на форуме >>

Расширение: .ImmaLocker

Пример зашифрованного файла: document.txt.ImmaLocker@cyberfear.com.AQFI5SCXC1KA.ImmaLocker

Записка: Readme.txt

Telegram: @Immalocker

Email: ImmaLocker@cyberfear.com

Файл: ImmaLocker@cyberfear.com.exe

➤ Содержание записки: 

Immalocker

Your data are stolen and encrypted

What guarantees that we will not deceive you? 

  We are not a politically motivated group and we do not need anything other than your money. 

  If you pay, we will provide you the programs for decryption and we will delete your data. 

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future. 

Therefore to us our reputation is very important.

To confirm our honest intentions.Send 2 different unimportant random files and you will get it decrypted.

Size : 200 KB to 2 MB

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

To contact us, first please message us on Telegram. If you do not receive a response within 24 hours, then email us.

Contact information :

Telegram : @Immalocker

Mail : ImmaLocker@cyberfear.com

Attention !

All files on each host in the network have been encrypted with a strong algorithm.

be careful : Backups were either encrypted

Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

--------------------------------------------------------------------------------------------

And finally

We exclusively have decryption software for your situation. 

More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 

No decryption software is available in the public.

Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.

In the end, you refer to us

But if you want to research and decode without us, you are wasting your time

So good luck

UniqueID: XXXXXXXXXXXX

PersonalID: aqq/etAWbRlvizZ0Sh/uWZ73BQ7hSN***

Вариант от 13 марта 2024 или раньше: 

Собственное название: Sanaloc Ransomware

Сообщение на форуме >>

Расширение: .Sanaloc

Пример зашифрованного файла: document.txt.Sanalock@cyberfear.com.MSCJZBDVWQVM.Sanaloc

Записка: Readme.txt

Telegram: @Sanalock

Email: Sanalock@cyberfear.com

Файл: Sanalock@cyberfear.com.exe 

Вариант от 16 марта 2024 или раньше:

Собственное название: Poraton Ransomware

Сообщение на форуме >>

Расширение: .Poraton

Пример зашифрованного файла: document.txt.Poraton_Support@Cyberfear.com.K8YJPZZBOGRG.Poraton

Записка: Readme.txt

Telegram: @Poraton

Email: Poraton_Support@Cyberfear.com

Файл: Poraton_Support@Cyberfear.com.exe

IOC: VT, IA, TG

MD5: 9eda69bc6d42ff0a9a56d74fb06a6c01 

SHA-1: 6a384ff0d66089bfb89dbcad8f0a90482160c6a1 

SHA-256: 34b9f323d2c6d4fc334952c365b678662dbd00cdd03babbcbe258a0ec053ffa3 

Vhash: 215036151511e09811f0027 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

➤ Обнаружения:

DrWeb -> Trojan.Encoder.38568

Emsisoft -> Gen:Variant.Ransom.BlackHeart.4 (B)

ESET-NOD32 -> A Variant Of MSIL/Filecoder.BBZ

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Binder.Trojan.Dropper.DDS

Microsoft -> Trojan:MSIL/FileCoder.ARA!MTB

Rising -> Ransom.Gen!8.DE83 (CLOUD)

Tencent -> Win32.Trojan-Ransom.Generic.Cdhl

TrendMicro -> Ransom_Gen.R002C0DCG24

Обзор строк кода: 

 

  

Сравнение образцов BlackLegion (ноябрь 2023) и Poraton (март 2024):

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Sandor, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.