Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 27 октября 2024 г.

PlayBoy

PlayBoy Ransomware

PlayBoy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


PlayBoy Locker Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует перейти на сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: PlayBoy LOCKER. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---

© Генеалогия: родство выясняется >>


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .PLBOY

Записка с требованием выкупа называется: INSTRUCTIONS.txt


Содержание записки о выкупе:
PlayBoy LOCKER
Hi!
Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog
You can buy our decrypt service, to decrypt your files and avoid data leakage.
We are waiting for you here!
URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***
Login Password ***


Заменяет обои Рабочего стола собственным изображением с небольшим текстом.





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: f33eb2cc612e2c0d369f0d444617f48e 
SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297 
SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b 
Vhash: 045056655d1515616za00881z201bz2011z3fz 
Imphash: 1a0077923e0fb734384e59114b8265a3


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: S!Ri, PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 16 октября 2024 г.

SafePay

SafePay Ransomware

SafePay Hacking Team

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


SafePay Ransomware

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов ChaCha20 + X25519, а затем требует написать на email, связаться через сайты в сети Tor и через децентрализованный мессенджер TON, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SafePay, указано в записке и на сайтах вымогателей. На файле написано: нет данных. Хакеры-распространители: SafePay Team. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Adware.Barys.696
ESET-NOD32 -> A Variant Of Generik.LIMCAPV
Kaspersky -> Trojan.Win32.Agent.xbutvh
Malwarebytes -> Malware.AI.3907704461
Microsoft -> Trojan:Win32/Malgent!MSR
Rising -> Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.14253ea6
TrendMicro -> TROJ_GEN.R002H01AG25
---

© Генеалогия: ✂ из разного кода >> 
SafePay


Сайт "ID Ransomware" идентифицирует это как SafePay с 7 ноября 2024. 
 


Информация для идентификации

Активность этого крипто-вымогателя была замечена в октябре - ноябре 2024 г. Ориентирован на англоязычных пользователей. Нацелен на средний и крупный бизнес. Может распространяться по всему миру. Подтвержденные инциденты зафиксированы в Великобритании, США, Австралии, Италии, Новой Зеландии, Канаде, Аргентине, Бельгии, Барбадосе, Бразилии и Германии. В ноябре на сайтах вымогателей в списке было 22 жертвы. 

К зашифрованным файлам добавляется расширение: .safepay

Записка с требованием выкупа называется: readme_safepay.txt

SafePay Ransomware note, записка о выкупе

Содержание записки о выкупе:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use emails below:
1. ***@protonmail.com
2. ***@protonmail.com
Our blog: 
http://***.onion
Download and install Tor Browser https://www.torproject.org/
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account. 

Перевод записки на русский язык:
Приветствую! Ваша корпоративная сеть подверглась атаке со стороны команды SafePay.
Ваши ИТ-специалисты допустили ряд ошибок при настройке безопасности вашей корпоративной сети, поэтому мы смогли провести в ней довольно много времени и скомпрометировать вас.
Именно неправильная настройка вашей сети позволила нашим экспертам атаковать вас, поэтому относитесь к этой ситуации как к платному тренингу для ваших системных администраторов.
Мы потратили время на анализ ваших данных, включая всю конфиденциальную и конфиденциальную информацию. В результате все важные файлы были зашифрованы, а наиболее интересные для нас были украдены и теперь хранятся на защищенном сервере для дальнейшего использования и публикации в Интернете с открытым доступом.
Теперь у нас есть ваши файлы, такие как: финансовая отчетность, интеллектуальная собственность, бухгалтерские записи, иски и жалобы, файлы персонала и клиентов, а также файлы, содержащие информацию о банковских реквизитах, транзакциях и другой внутренней документации.
Кроме того, мы успешно заблокировали большинство серверов, которые имеют для вас жизненно важное значение, однако после достижения соглашения мы разблокируем их как можно скорее, и ваши сотрудники смогут возобновить свои ежедневные обязанности.
Мы предлагаем взаимовыгодное решение этой проблемы. Вы отправляете нам платеж, и мы сохраняем в тайне факт взлома вашей сети, удаляем все ваши данные и предоставляем вам ключ для расшифровки всех ваших данных.
В случае соглашения наша репутация является гарантией того, что все условия будут выполнены. Никто никогда не будет вести с нами переговоры позже, если мы не выполним свою часть, и мы это четко осознаем! Мы не являемся политически мотивированной группой и не хотим ничего, кроме денег. Если вы заплатите, мы выполним все условия, о которых договорились в процессе переговоров.
Чтобы связаться с нами, используйте адреса электронной почты ниже:
1. ***@protonmail.com
2. ***@protonmail.com
Наш блог:
http://***.onion
Скачайте и установите Tor Browser https://www.torproject.org/
Свяжитесь с нами и ждите ответа, мы гарантируем, что ответим как можно скорее и еще раз все вам объясним более подробно.
Наш блог TON:
tonsite://safepay.ton
Вы можете подключиться через свой аккаунт Telegramm.


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

➤ С списке используемых для похищения данных и вымогательства приложения: PowerShell, FileZilla, WinRAR.

➤ Повышение привилегий
Для повышения привилегий SafePay использует технику UAC Bypass Privilege Escalation, тактику, ранее связанную с LockBit и ALPHV/BlackCat. Она включает эксплуатацию процесса DllHost.exe и злоупотребление функциональностью COM-объекта (в частности, CMSTPLUA) для выполнения вредоносных команд с повышенными привилегиями.

➤ Начало атаки
Атака начинается с эксплуатации открытых конечных точек RDP, используя плохо защищенные или неправильно настроенные параметры RDP, что позволяет злоумышленникам получить несанкционированный доступ к корпоративной среде. Затем используется Living Off the Land Binaries (LOLBins), такие как SystemSettingsAdminFlows.exe, чтобы отключить основные функции безопасности Windows Defender. Затем, выполняя ряд команд отключает защиту в реальном времени, отправку образцов и другие защитные механизмы, эффективно нейтрализуя встроенную защиту.

➤ Использование возможностей PowerShell
После успешного отключения средств безопасности SafePay развертывает вредоносный скрипт ShareFinder.ps1 для сканирования сети в поисках  доступных общих ресурсов, выявления конфиденциальных данных и составления карты потенциальных путей бокового перемещения. Это помогает идентифицировать высокоценные цели и подготовиться к эксфильтрации или шифрованию данных. Помимо ShareFinder.ps1, могут использоваться и другие скрипты, инструменты или тактики, чтобы углубить позиции злоумышленников и сохранить устойчивость в скомпрометированной сети.

➤ Процесс выполнения и прекращение обслуживания
SafePay нацеливается на критические процессы и службы. Используя функцию ZwTerminateProcess, завершает процессы, необходимые для баз данных, резервного копирования и приложений производительности. Основные цели: службы баз данных (sql, oracle, dbsnmp), инструменты резервного копирования (encsvc, xfssvccon) и приложения (word, excel, onenote, outlook).
SafePay останавливает критические службы, используя функцию ControlService. Фокусируется на отключении системных и резервных служб, (vss, sqlsvc),антивирусных решений (Sophos и пр.). Эта двухуровневая стратегия гарантирует нейтрализацию защитных механизмов, что значительно усложняет усилия по восстановлению и защите. 

➤ Эксфильтрация данных
В рамках своей работы SafePay включает фазу эксфильтрации данных для расширения возможностей вымогательства. Сначала злоумышленники архивируют конфиденциальные файлы с помощью WinRAR.exe, применяя определенные параметры для оптимизации процесса путем исключения некритических типов файлов, таких как .jpeg, .mov и .exe. Этот избирательный подход гарантирует, что фокус остается на ценных данных.
После фазы архивации злоумышленники переносят собранные данные на удаленные серверы с помощью FileZilla. Затем FileZilla удаляется. 

Проверка локализации
SafePay проверяет, не запущен ли он в одной из стран Восточной Европы. Для этого вызывается GetSystemDefaultUILanguage и проверяется, что полученный идентификатор языка больше идентификаторов кириллического языка. 

➤ Шифрование
После завершения эксфильтрации SafePay шифрует файлы, добавляя расширение .safepay. Это делает критически важные файлы недоступными, оказывает давление на жертву, чтобы она выполнила требования выкупа. Для информирования в каталогах с зашифрованными файлами оставляется записка о выкупе readme_safepay.txt с инструкциями по уплате выкупа и  связи с вымогателями через Tor-сайты (.onion) и мессенджер TON, что обеспечивает анонимность контакта.

Список останавливаемых процессов: 
sql
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
far
onenote
outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad
wuauclt
onedrive
sqlmangr

Список останаливаемых служб: 
vss
sqlsvc
memtas
mepocs
msexchange
Sophos
Veeam
backup
GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, некоторые типы изображений, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_safepay.txt - название файла с требованием выкупа;
ShareFinder.ps1 - PowerShell-скрипт; 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
xxxx://iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion
xxxx://qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion
TON: xxxsite://safepay.ton


Email: ***@protonmail.com, ***@protonmail.com
BTC: -
C2C: 45.91.201.247
77.37.49.40
80.78.28.63
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR
MD5: d1f621b82822b544153f6b531e51a611 
SHA-1: 4278801d47b15c1e9ef94c28c599c3156fd65812 
SHA-256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 
Vhash: 1150566d151d156bzenz7ez2 
Imphash: 37fbdf024566a44c7d1a9acd4db9607d


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***

Thanks: Huntress, Red Piranha, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sauron

Sauron Ransomware

Sauron (Conti-based) Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Sauron Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Расшифровка файлов без получения закрытого ключа RSA-2048 невозможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150, Trojan.Encoder.41182
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.74295393
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB, Ransom:Win64/Filecoder!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD), Ransom.Generic!8.E315 (CLOUD)
Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---

© Генеалогия: ✂ Conti-3
 LockBit + другой код >> Sauron


Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 



Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Sauron Ransomware note, записка о выкупе


Содержание записки о выкупе:
Your Files Have Been Encrypted!
Attention!
All your important files have been stolen and encrypted by our advanced attack.
Without our special decryption software, theres no way to recover your data!
Your ID: [ 35AEE360 ]
To restore your files, reach out to us at: adm.helproot@gmail.com
You can also contact us via Telegram: @adm_helproot
Failing to act may result in sensitive company data being leaked or sold.
Do NOT use third-party tools, as they may permanently damage your files.
Why Trust Us?
Before making any payment, you can send us few files for free decryption test.
Our business relies on fulfilling our promises.
How to Buy Bitcoin?
You can purchase Bitcoin to pay the ransom using these trusted platforms:
xxxxs://www.kraken.com/learn/buy-bitcoin-btc
xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin
xxxxs://paxful.com

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Внимание!
Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.
Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!
Ваш идентификатор: ***
Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com
Вы также можете связаться с нами через Telegram: @adm_helproot
Бездействие может привести к утечке или продаже конфиденциальных данных компании.
НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.
Почему нам доверяют?
Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.
Наш бизнес основан на выполнении наших обещаний.
***




Также используется изображение, заменяющее обои Рабочего стола, с текстом:
SAURON
All your files are encrypted
for more information see #HowToRecover.txt that is located in every encrypted folder



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -
Telegram: @adm_helproot
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG
MD5: eb13533a89da9762d93de5d54966df5f 
SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 
SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 
Vhash: 065076655d155515555078z657z17z2011z35z27z 
Imphash: b5f1a1d1c89893764273d20e9396c5d5
---
IOC: VT, HA, IA, TG
MD5: 75eeb5869fe1fe3a98749b6b31afdab7 
SHA-1: ba4d5f0087b39be43b514dcbbfb35bf478c8345a 
SHA-256: fce945ba2c72acbc82e8129196cd7043f9d205ad545e005a3de8739ba25f493b 
Vhash: 065076655d155515555038z65hz2011z25z27z 
Imphash: 3bc9aa7495560b44d271f3a1b43942f3

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 октября 2024 или раньше: 
Расширение: .<random 5 chars>
Пример полного расширения: .[ID-528DAF49].[adm.systemic@gmail.com].iXgTi
Записка: #HowToDecrypt.txt
Email: adm.systemic@gmail.com
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.Encoder.41191
BitDefender -> Trojan.GenericKD.75095688
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Symantec -> Ransom.Zombie
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1


Вариант от 25 октября 2024 или раньше: 
Доп. название: Hawk Ransomware
Расширение: .hawk
Пример полного расширения: .id[XX-B2750012].[sup.logical@gmail.com].hawk
Записка: #Recover-Files.txt
Email: sup.logical@gmail.com
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.Encoder.41194
BitDefender -> Gen:Variant.Tedy.659244
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
Symantec -> Ransom.Zombie
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1


Вариант от 29 октября 2024 или раньше: 
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda
Записка: #HowToRecover.txt
Email: hedaransom@gmail.com
IOC: VT, IA, TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.41225
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1


Вариант от 30 октября 2024 или раньше: 
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[id-79366a5b-1337].[hedaransom@gmail.com].heda
Записка: #HowToRecover.txt
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.Encoder.41203
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Malwarebytes -> Ransom.FileCryptor
TrendMicro -> TROJ_GEN.R03BC0DJT24


Вариант от 11 ноября 2024 или раньше: 
Расширение: .A08D7447
Пример полного расширения: .id[XX-73B251EF].[Xdoct0@zohomail.eu].A08D7447
Записка: #Recover-Files.txt
Email: Xdoct0@zohomail.eu
IOC: VT, IA, TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.41233
BitDefender -> Trojan.Generic.37045557
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
TrendMicro -> Ransom_Lockbit.R002C0DKI24


Вариант от 5 декабря 2024: 
Расширение: .<random 4 chars>
Пример полного расширения: .[ID-F51292E4].[TrustFiles@skiff.com].OJNH
Записки: #README.hta, #README-TO-DECRYPT-FILES.txt 
Email: TrustFiles@skiff.com
Меняет обои Рабочего стола. 
Добавляется в автозагрузку Windows:  
%APPDATA%\microsoft\windows\start menu\programs\startup\zowq.exe
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.MulDrop28.49123
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ
Microsoft -> TrojanDownloader:Win64/BazaarLoader!rfn
TrendMicro -> TROJ_GEN.R002C0DL524


=== 2025 ===

Вариант от 14 февраля 2025 или раньше: 
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[ID-7A5C4E67-1337].[hedaransom@gmail.com].Heda
Записка: #HowToRecover.txt
Email: hedaransom@gmail.com
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.Encoder.41711
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1


Вариант от 24 февраля 2025: 
Расширение: .<random 5 chars>
Пример полного расширения: .[ID-F51292E4].[reaction0@tutamail.com].unslu
Записка: #README-TO-DECRYPT-FILES.txt
Email: reaction0@tutamail.com
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.MulDrop29.10200
BitDefender -> Trojan.GenericKD.75904076
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSN
Microsoft -> Ransom:Win32/Conti.IPA!MTB
TrendMicro -> Ransom_Conti.R053C0DC225


Вариант от 11 марта 2025: 
Расширение: .<random 6 chars>
Пример полного расширения: .[ID-F51292E4].[Telegram ID @Adm1n_speed].OJNHOR
Записка: #README-TO-DECRYPT-FILES.txt
Telegram: @Adm1n_speed
IOC: VT, IA, TG
 Обнаружения: 
DrWeb -> Trojan.Encoder.41776
BitDefender -> Gen:Variant.Lazy.663648
ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
TrendMicro -> TrojanSpy.Win64.NEGASTEAL.YXFCLZ


Вариант от 14 марта 2025 или раньше: 
Расширение (шаблон): .<random 5 chars>
Расширение (пример): .pyfx8
Записка: #Recover-Files.txt
Email: blackdecryptor@gmail.com
Telegram: recoverydatasup@gmail.com






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***

Thanks: S!Ri, petik, cyfirma, pcrisk, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *