ShrinkLocker

ShrinkLocker Ransomware

BitLocker_Exploiter Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем оставляет email-адрес вместо названия системного диска, чтобы пострадавшие могли связаться с вымогателями по этому адресу и заплатить выкуп, чтобы расшифровать диск и вернуть файлы. Оригинальное название: неизвестно. Название "ShrinkLocker" было дано исследователями, описавшими его в Securelist на английском языке.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> HEUR:Trojan-Ransom.VBS.BitLock.a
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> ShrinkLocker

Сайт "ID Ransomware" идентифицирует ShrinkLocker с 25 июня 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в апреле-мае 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Нацелен на промышленные и фармацевтические компании, государственные учреждения. Атаки были обнаружены в Мексике, Индонезии и Иордании.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа называется: *нет данных*.

К сожалению, исследователи из Securelist, несмотря  на обширное описание, не сообщили ничего о тексте с требованием выкупа. Есть только упоминание того, что на системном диске вместо стандартной метки появляется email-адрес вымогателей. Если никакой записки нет, то так и надо было сказать. Но сообщается о двух разных email-адресах. Откуда второй? Вероятно, он используется в другом варианте вымогателя. 

Однако администраторы не увидят эту метку, если они не загрузят устройство с помощью среды восстановления или других инструментов диагностики, поэтому контактный адрес очень легко не заметить.


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Основная вредоносная активность: 

ShrinkLocker использует для атаки и шифрования функционал Windows: BitLocker, VBScript, PowerShell. 

Вначале запускается вредоносный скрипт на VBScript (файл Disk.vbs). Он проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует BitLocker, причем это работает как для новых, так и для старых версии ОС, даже Windows Server 2008 и 2012. Если на компьютере используются более старые версии ОС Windows (XP, 2000, 2003, Vista), то сценарий автоматически завершает работу и удаляется.

ShrinkLocker изменяет параметры загрузки ОС, а затем пытается зашифровать разделы жесткого диска с помощью BitLocker. 

Также создается новый загрузочный раздел, чтобы можно было загрузить Windows и убедиться, что файлы зашифрованы. Кроме того, этот вымогатель  сохраняет индекс других разделов, а затем выполняет следующие действия с помощью консольной утилиты diskpart:

- уменьшает размер каждого незагрузочного раздела на 100 МБ, что создает 100 МБ нераспределенного пространства в каждом разделе, кроме загрузочного тома;

- разделяет нераспределенное пространство на новые первичные разделы по 100 МБ;

- форматирует разделы с помощью опции override, которая принудительно демонтирует том, если это необходимо, а затем определяет для каждого из них файловую систему и букву диска;

- активирует созданные разделы. 

Если процедура "уменьшения" разделов прошла успешно, ok используется в качестве переменной, и скрипт продолжает работу. 

Скрипт также меняет метку новых загрузочных разделов на email-адрес вымогателей, чтобы жертва могла связаться с ними.

После этого ShrinkLocker отключает средства защиты, используемые для защиты ключа шифрования BitLocker, и удаляет их. 

Дополнение: 

После шифрования дисков вредоносная программа удаляет средства защиты BitLocker (например, TPM, PIN-код, ключ запуска, пароль, пароль восстановления, ключ восстановления), чтобы лишить жертву возможности восстановить ключ шифрования BitLocker, который отправляется злоумышленнику.

Ключ, сгенерированный для шифрования файлов, представляет собой 64-значную комбинацию случайного умножения и замены переменной числами от 0 до 9, специальными символами и голоалфавитным предложением "The quick brown fox jumps over the lazy dog" (перевод: Быстрый бурый лис прыгает через ленивого пса).

Ключ доставляется через инструмент TryCloudflare, легальный сервис, позволяющий разработчикам экспериментировать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.

На заключительном этапе атаки ShrinkLocker заставляет систему завершить работу, чтобы все изменения вступили в силу, и оставляет пользователю заблокированные диски и отсутствие возможностей восстановления BitLocker.

Список типов файлов, подвергающихся шифрованию:
Вероятно все файлы на диске, среди них: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Disk.vbs - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\Microsoft\Windows\Templates\Disk.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: onboardingbinder@proton.me

Email-1: conspiracyid9@protonmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 842f7b1c425c5cf41aed9df63888e768

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up-2, Topic of Support
 ***

 Thanks: 
 Securelist
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

El Dorado

El Dorado Ransomware

El-Dorado Ransomware

El Dorado Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через чат на их сайте, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы и не допустить публикацию украденных файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38915
BitDefender -> Trojan.Generic.35873074
ESET-NOD32 -> A Variant Of WinGo/Filecoder.GG
Kaspersky -> Trojan.Win32.Renamer.bi
Malwarebytes -> Malware.AI.4072399573
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Tencent -> Win32.Trojan.Renamer.Udkl
TrendMicro -> Ransom.Win64.LDRADO.THEAEBD
---

© Генеалогия: LostTrust >> El Dorado

Сайт "ID Ransomware" идентифицирует El Dorado c 13 июня 2024. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .00000001

Записка с требованием выкупа называется: HOW_RETURN_YOUR_DATA.TXT

Содержание записки о выкупе:

To the board of directors.

Your network has been attacked through various vulnerabilities found in your system.

We have gained full access to the entire network infrastructure.

All your confidential information about all employees and all partners and developments 

has been downloaded to our servers and is located with us.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Our team has an extensive background in legal and so called white hat hacking.

However, clients usually considered the found vulnerabilities to be minor and poorly paid for our services.

So we decided to change our business model. Now you understand how important it is to allocate a good budget for IT security.

This is serious business for us and we really don't want to ruin your privacy, 

reputation and a company.

We just want to get paid for our work whist finding vulnerabilities in various networks.

Your files are currently encrypted with our tailor made state of the art algorithm.

Don't try to terminate unknown processes, don't shutdown the servers, do not unplug drives,

all this can lead to partial or complete data loss.

We have also managed to download a large amount of various, crucial data from your network.

A complete list of files and samples will be provided upon request.

We can decrypt a couple of files for free. The size of each file must be no more than 5 megabytes.

All your data will be successfully decrypted immediately after your payment.

You will also receive a detailed list of vulnerabilities used to gain access to your network.

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

If you refuse to cooperate with us, it will lead to the following consequences for your company:

1. All data downloaded from your network will be published for free or even sold

2. Your system will be re-attacked continuously, now that we know all your weak spots

3. We will also attack your partners and suppliers using info obtained from your network

4. It can lead to legal actions against you for data breaches

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

                   !!!!Instructions for contacting our team!!!!

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

  ---> Download and install TOR browser from this site : https://torproject.org

  ---> For contact us via LIVE CHAT open our website : hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

  ---> If Tor is restricted in your area, use VPN

  ---> All your Data will be published in 7 Days if NO contact made

  ---> Your Decryption keys will be permanently destroyed in 3 Days if no contact made

  ---> Your Data will be published if you will hire third-party negotiators to contact us

Перевод записки на русский язык:

Совету директоров.

Ваша сеть подверглась атаке через различные уязвимости, обнаруженные в вашей системе.

Мы получили полный доступ ко всей сетевой инфраструктуре.

Вся ваша конфиденциальная информация обо всех сотрудниках, всех партнерах и разработках загружена на наши серверы и находится у нас.

Наша команда имеет обширный опыт в юридической и так называемой белой хакерской деятельности.

Однако клиенты обычно считали найденные уязвимости незначительными и плохо оплачивали наши услуги.

Поэтому мы решили изменить нашу бизнес-модель. Теперь вы понимаете, насколько важно выделить хороший бюджет на ИТ-безопасность.

Для нас это серьезный бизнес, и мы действительно не хотим портить вашу конфиденциальность, репутацию и компанию.

Мы просто хотим получать оплату за свою работу по поиску уязвимостей в различных сетях.

Ваши файлы в настоящее время зашифрованы с помощью нашего современного алгоритма.

Не пытайтесь завершить неизвестные процессы, не выключайте серверы, не отключайте диски — все это может привести к частичной или полной потере данных.

Нам также удалось загрузить из вашей сети большое количество различных важных данных.

Полный список файлов и образцов будет предоставлен по запросу.

Мы можем бесплатно расшифровать пару файлов. Размер каждого файла должен быть не более 5 мегабайт.

Все ваши данные будут успешно расшифрованы сразу после оплаты.

Вы также получите подробный список уязвимостей, используемых для получения доступа к вашей сети.

Если вы откажетесь от сотрудничества с нами, это приведет к следующим последствиям для вашей компании:

1. Все данные, скачанные из вашей сети, будут опубликованы бесплатно или даже проданы.

2. Ваша система будет постоянно подвергаться повторным атакам, теперь, когда мы знаем все ваши слабые места.

3. Мы также будем атаковать ваших партнеров и поставщиков, используя информацию, полученную из вашей сети.

4. Это может привести к судебным искам против вас за утечку данных.

 !!!!Инструкция для связи с нашей командой!!!!

 ---> Загрузите и установите браузер TOR с этого сайта: https://torproject.org.

 ---> Чтобы связаться с нами через LIVE ЧАТ, откройте наш сайт: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

 ---> Если Tor ограничен в вашем регионе, используйте VPN

 ---> Все ваши данные будут опубликованы через 7 дней, если НЕТ связи

 ---> Ваши ключи дешифрования будут безвозвратно уничтожены через 3 дня, если с вами не будет связи.

 ---> Ваши данные будут опубликованы, если вы наймете сторонних переговорщиков для связи с нами.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_RETURN_YOUR_DATA.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://panelqbinglxczi2gqkwderfvgq6bcv5cbjwxrksjtvr5xv7ozh5wqad.onion/***

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG

MD5: 9d1fd92ea00c6eef88076dd55cad611e 

SHA-1: a108c142dba8c9af5236ec64fe5a1ce04c54a3fb 

SHA-256: 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74 

Vhash: 056066655d5d15541az28!z 

Imphash: f0ea7b7844bbc5bfa9bb32efdcea957c

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lotus

Lotus Ransomware

Lotus NAS-Encrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сетевых хранилищах (NAS) с помощью комбинации алгоритмов, а затем требует связаться с вымогателями через сайт в сети Tor, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Lotus. На файле написано: нет данных. Написан на Golang. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Babuk >> Babuk for NAS >> Lotus

Сайт "ID Ransomware" это пока отдельно не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была замечена в начале мая 2024 г. и, видимо, продолжалась в течении месяца. Ориентирован на англоязычных пользователей, но может распространяться по всему миру. Среди первых пострадавших были российские пользователи NAS (сетевых хранилищ). 

К зашифрованным файлам добавляется расширение: .lotus

Записка с требованием выкупа называется: README-LOTUS.txt

Содержание записки о выкупе:

If you see this, your files were successfully encrypted.

We advice you not to search free decryption method.

It's impossible. We are using symmetrical and asymmetric encryption.

ATTENTION:

- Don't rename encrypted files.

- Don't change encrypted files.

- Don't use third party software.

To reach an agreement we offer you to contact with us.

How to contact with us: 

* Download Tor Browser:

Visit torproject.org/download.

Download and install the Tor Browser.

* Launch Tor Browser:

Open the Tor Browser on your device.

* Connect to Tor Network:

Click "Establish a Connection."

* Enter onion Address:

Copy and paste address below in the address bar:

hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***

* Purchase decrypter software from the page.

Перевод записки на русский язык:

Если вы видите это, ваши файлы были успешно зашифрованы.

Мы советуем вам не искать бесплатный метод расшифровки.

Это невозможно. Мы используем симметричное и асимметричное шифрование.

ВНИМАНИЕ:

 - Не переименовывайте зашифрованные файлы.

 - Не меняйте зашифрованные файлы.

 - Не используйте стороннее программное обеспечение.

Для достижения соглашения мы предлагаем Вам связаться с нами.

Как связаться с нами:

 * Загрузите Tor Browser:

 Посетите torproject.org/download.

 Загрузите и установите браузер Tor.

 * Запустите браузер Tor:

 Откройте браузер Tor на своем устройстве.

 * Подключитесь к сети Tor:

 Нажмите «Установить соединение».

 * Введите луковый адрес:

 Скопируйте и вставьте адрес ниже в адресную строку:

 hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/***

  * Приобретите программу для дешифрования со страницы.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию NAS-устройств, в том числе через RDP уязвимой операционной системы, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! NAS-устройства не защищены от атак программ-вымогателей, даже, если производители утверждают обратное. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Немного о шифровании:

Файлы размером более 20 мегабайт шифруются мегабайтными блоками через каждые 10 мегабайт. В файлах менее 20 мегабайт шифруется начальная часть файлов размером не более 4 мегабайта.

После шифрования данных файла в его конец добавляется блок метаданных размером 38 байтов (публичный ключ для файла + маркер, например AB BC CD DE EF F0).

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-LOTUS.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://ugn5khvt4kitlivv4ddfh3lb6mdhn2ud3ximcaypy73hxlk3arj2goad.onion/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Embargo

Embargo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует связаться с вымогателями, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Embargo. На файле написано: что попало. Распространитель: EMBARGO Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38947
BitDefender -> Gen:Variant.Ser.Babar.7654
ESET-NOD32 -> A Variant Of Win32/Filecoder.OQO
Kaspersky -> Trojan.Win32.Renamer.ch
Malwarebytes -> Malware.AI.4072450021
Microsoft -> Trojan:Win32/Trickbot
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bfece7
TrendMicro -> Ransom.Win32.EMBARGO.THEAFBD
---

© Генеалогия: родство выясняется >> Embargo

Сайт "ID Ransomware" идентифицирует это как Embargo. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине апреля и мае 2024 г. Первая пострадавшая компания, судя по дате на сайте вымогателей, была в апреле. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .<random>

В рассмотренном образце расширение было: .564ba1

Записка с требованием выкупа называется: HOW_TO_RECOVER_FILES.txt

Содержание записки о выкупе:

Your network has been chosen for Security Audit by EMBARGO Team.

We successfully infiltrated your network, downloaded all important and sensitive documents, files, databases, and encrypted your systems.

You must contact us before the deadline 2024-05-21 06:25:37 +0000 UTC, to decrypt your systems and prevent your sensitive information from disclosure on our blog:

hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/

Do not modify any files or file extensions. Your data maybe lost forever.

Instructions:

1. Download torbrowser: https://www.torproject.org/download/

2. Go to your registration link:

=================================

hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/#/37f1061d6f6281a4598f130979ad77c8

=================================

3. Register an account then login

If you have problems with this instructions, you can contact us on TOX:

9500B1A73716BCF40745086F7184A33EA0141B7D3F852431C8FDD2E1E8FAF9277E9FDC117B47

After payment for our services, you will receive:

- decrypt app for all systems

- proof that we delete your data from our systems

- full detail pentest report

- 48 hours support from our professional team to help you recover systems and develop Disaster Recovery plan

IMPORTANT: After 2024-05-21 06:25:37 +0000 UTC deadline, your registration link will be disabled and no new registrations will be allowed.

If no account has been registered, your keys will be deleted, and your data will be automatically publish to our blog and/or sold to data brokers.

WARNING: Speak for yourself. Our team has many years experience, and we will not waste time with professional negotiators.

If we suspect you to speaking by professional negotiators, your keys will be immediate deleted and data will be published/sold.

Перевод записки на русский язык:
*** не производится ***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_FILES.txt - название файла с требованием выкупа;
21353d65b457518570bffc8a03038ee0_NeikiAnalytics.exe -  название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Tor-URL: hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion/

Tor-URL: hxxx://5ntlvn7lmkezscee2vhatjaigkcu2rzj3bwhqaz32snmqc4jha3gcjad.onion/

TOX: 9500B1A73716BCF40745086F7***

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 21353d65b457518570bffc8a03038ee0 

SHA-1: b0c2e8ff737a4d3c331a5a581f7042eed4f69a9d 

SHA-256: 98cc01dcd4c36c47fc13e4853777ca170c734613564a5a764e4d2541a6924d39 

Vhash: 0660976d15555c0d5d1d0128z912002041z1055z1az197z 

Imphash: 34773aa4f6cf4d8f1a14b905cdde38e1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Dark Web Informer, PCrisk, petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.