PlayBoy

PlayBoy Ransomware

PlayBoy Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует перейти на сайт в сети Tor, чтобы узнать, как заплатить выкуп и вернуть свои файлы. Оригинальное название: PlayBoy LOCKER. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .PLBOY

Записка с требованием выкупа называется: INSTRUCTIONS.txt

Содержание записки о выкупе:

PlayBoy LOCKER

Hi!

Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog

You can buy our decrypt service, to decrypt your files and avoid data leakage.

We are waiting for you here!

URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***

Login Password ***

Заменяет обои Рабочего стола собственным изображением с небольшим текстом.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f33eb2cc612e2c0d369f0d444617f48e 

SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297 

SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b 

Vhash: 045056655d1515616za00881z201bz2011z3fz 

Imphash: 1a0077923e0fb734384e59114b8265a3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SafePay

SafePay Ransomware

SafePay Hacking Team

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов ChaCha20 + X25519, а затем требует написать на email, связаться через сайты в сети Tor и через децентрализованный мессенджер TON, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SafePay, указано в записке и на сайтах вымогателей. На файле написано: нет данных. Хакеры-распространители: SafePay Team. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Adware.Barys.696
ESET-NOD32 -> A Variant Of Generik.LIMCAPV
Kaspersky -> Trojan.Win32.Agent.xbutvh
Malwarebytes -> Malware.AI.3907704461
Microsoft -> Trojan:Win32/Malgent!MSR
Rising -> Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.14253ea6
TrendMicro -> TROJ_GEN.R002H01AG25
---

© Генеалогия: ✂ из разного кода >> SafePay

Сайт "ID Ransomware" идентифицирует это как SafePay с 7 ноября 2024.  

Информация для идентификации

Активность этого крипто-вымогателя была замечена в октябре - ноябре 2024 г. Ориентирован на англоязычных пользователей. Нацелен на средний и крупный бизнес. Может распространяться по всему миру. Подтвержденные инциденты зафиксированы в Великобритании, США, Австралии, Италии, Новой Зеландии, Канаде, Аргентине, Бельгии, Барбадосе, Бразилии и Германии. В ноябре на сайтах вымогателей в списке было 22 жертвы. 

К зашифрованным файлам добавляется расширение: .safepay

Записка с требованием выкупа называется: readme_safepay.txt

Содержание записки о выкупе:

Greetings! Your corporate network was attacked by SafePay team.

Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.

It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.

ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.

Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.

Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.

We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.

In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.

In order to contact us, please use emails below:

1. ***@protonmail.com

2. ***@protonmail.com

Our blog: 

http://***.onion

Download and install Tor Browser https://www.torproject.org/

Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

Our TON blog:

tonsite://safepay.ton

You can connect through your Telegramm account. 

Перевод записки на русский язык:

Приветствую! Ваша корпоративная сеть подверглась атаке со стороны команды SafePay.

Ваши ИТ-специалисты допустили ряд ошибок при настройке безопасности вашей корпоративной сети, поэтому мы смогли провести в ней довольно много времени и скомпрометировать вас.

Именно неправильная настройка вашей сети позволила нашим экспертам атаковать вас, поэтому относитесь к этой ситуации как к платному тренингу для ваших системных администраторов.

Мы потратили время на анализ ваших данных, включая всю конфиденциальную и конфиденциальную информацию. В результате все важные файлы были зашифрованы, а наиболее интересные для нас были украдены и теперь хранятся на защищенном сервере для дальнейшего использования и публикации в Интернете с открытым доступом.

Теперь у нас есть ваши файлы, такие как: финансовая отчетность, интеллектуальная собственность, бухгалтерские записи, иски и жалобы, файлы персонала и клиентов, а также файлы, содержащие информацию о банковских реквизитах, транзакциях и другой внутренней документации.

Кроме того, мы успешно заблокировали большинство серверов, которые имеют для вас жизненно важное значение, однако после достижения соглашения мы разблокируем их как можно скорее, и ваши сотрудники смогут возобновить свои ежедневные обязанности.

Мы предлагаем взаимовыгодное решение этой проблемы. Вы отправляете нам платеж, и мы сохраняем в тайне факт взлома вашей сети, удаляем все ваши данные и предоставляем вам ключ для расшифровки всех ваших данных.

В случае соглашения наша репутация является гарантией того, что все условия будут выполнены. Никто никогда не будет вести с нами переговоры позже, если мы не выполним свою часть, и мы это четко осознаем! Мы не являемся политически мотивированной группой и не хотим ничего, кроме денег. Если вы заплатите, мы выполним все условия, о которых договорились в процессе переговоров.

Чтобы связаться с нами, используйте адреса электронной почты ниже:

1. ***@protonmail.com

2. ***@protonmail.com

Наш блог:

http://***.onion

Скачайте и установите Tor Browser https://www.torproject.org/

Свяжитесь с нами и ждите ответа, мы гарантируем, что ответим как можно скорее и еще раз все вам объясним более подробно.

Наш блог TON:

tonsite://safepay.ton

Вы можете подключиться через свой аккаунт Telegramm.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

➤ С списке используемых для похищения данных и вымогательства приложения: PowerShell, FileZilla, WinRAR.

➤ Повышение привилегий

Для повышения привилегий SafePay использует технику UAC Bypass Privilege Escalation, тактику, ранее связанную с LockBit и ALPHV/BlackCat. Она включает эксплуатацию процесса DllHost.exe и злоупотребление функциональностью COM-объекта (в частности, CMSTPLUA) для выполнения вредоносных команд с повышенными привилегиями.

➤ Начало атаки

Атака начинается с эксплуатации открытых конечных точек RDP, используя плохо защищенные или неправильно настроенные параметры RDP, что позволяет злоумышленникам получить несанкционированный доступ к корпоративной среде. Затем используется Living Off the Land Binaries (LOLBins), такие как SystemSettingsAdminFlows.exe, чтобы отключить основные функции безопасности Windows Defender. Затем, выполняя ряд команд отключает защиту в реальном времени, отправку образцов и другие защитные механизмы, эффективно нейтрализуя встроенную защиту.

➤ Использование возможностей PowerShell

После успешного отключения средств безопасности SafePay развертывает вредоносный скрипт ShareFinder.ps1 для сканирования сети в поисках  доступных общих ресурсов, выявления конфиденциальных данных и составления карты потенциальных путей бокового перемещения. Это помогает идентифицировать высокоценные цели и подготовиться к эксфильтрации или шифрованию данных. Помимо ShareFinder.ps1, могут использоваться и другие скрипты, инструменты или тактики, чтобы углубить позиции злоумышленников и сохранить устойчивость в скомпрометированной сети.

➤ Процесс выполнения и прекращение обслуживания

SafePay нацеливается на критические процессы и службы. Используя функцию ZwTerminateProcess, завершает процессы, необходимые для баз данных, резервного копирования и приложений производительности. Основные цели: службы баз данных (sql, oracle, dbsnmp), инструменты резервного копирования (encsvc, xfssvccon) и приложения (word, excel, onenote, outlook).

SafePay останавливает критические службы, используя функцию ControlService. Фокусируется на отключении системных и резервных служб, (vss, sqlsvc),антивирусных решений (Sophos и пр.). Эта двухуровневая стратегия гарантирует нейтрализацию защитных механизмов, что значительно усложняет усилия по восстановлению и защите. 

➤ Эксфильтрация данных

В рамках своей работы SafePay включает фазу эксфильтрации данных для расширения возможностей вымогательства. Сначала злоумышленники архивируют конфиденциальные файлы с помощью WinRAR.exe, применяя определенные параметры для оптимизации процесса путем исключения некритических типов файлов, таких как .jpeg, .mov и .exe. Этот избирательный подход гарантирует, что фокус остается на ценных данных.

После фазы архивации злоумышленники переносят собранные данные на удаленные серверы с помощью FileZilla. Затем FileZilla удаляется. 

➤ Проверка локализации

SafePay проверяет, не запущен ли он в одной из стран Восточной Европы. Для этого вызывается GetSystemDefaultUILanguage и проверяется, что полученный идентификатор языка больше идентификаторов кириллического языка. 

➤ Шифрование

После завершения эксфильтрации SafePay шифрует файлы, добавляя расширение .safepay. Это делает критически важные файлы недоступными, оказывает давление на жертву, чтобы она выполнила требования выкупа. Для информирования в каталогах с зашифрованными файлами оставляется записка о выкупе readme_safepay.txt с инструкциями по уплате выкупа и  связи с вымогателями через Tor-сайты (.onion) и мессенджер TON, что обеспечивает анонимность контакта.

Список останавливаемых процессов: 

sql

oracle

ocssd

dbsnmp

synctime

agntsvc

isqlplussvc

xfssvccon

mydesktopservice

ocautoupds

encsvc

firefox

tbirdconfig

mydesktopqos

ocomm

dbeng50

sqbcoreservice

excel

infopath

msaccess

mspub

far

onenote

outlook

powerpnt

steam

thebat

thunderbird

visio

winword

wordpad

notepad

wuauclt

onedrive

sqlmangr

Список останаливаемых служб: 

vss

sqlsvc

memtas

mepocs

msexchange

Sophos

Veeam

backup

GxVss

GxBlr

GxFWD

GxCVD

GxCIMgr

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, некоторые типы изображений, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_safepay.txt - название файла с требованием выкупа;

ShareFinder.ps1 - PowerShell-скрипт; 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 

xxxx://iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion

xxxx://qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion

TON: xxxsite://safepay.ton

Email: ***@protonmail.com, ***@protonmail.com
BTC: -

C2C: 45.91.201.247

77.37.49.40

80.78.28.63

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d1f621b82822b544153f6b531e51a611 

SHA-1: 4278801d47b15c1e9ef94c28c599c3156fd65812 

SHA-256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 

Vhash: 1150566d151d156bzenz7ez2 

Imphash: 37fbdf024566a44c7d1a9acd4db9607d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Huntress, Red Piranha, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sauron

Sauron Ransomware

Sauron (Conti-based) Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Расшифровка файлов без получения закрытого ключа RSA-2048 невозможна. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150, Trojan.Encoder.41182
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.74295393
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB, Ransom:Win64/Filecoder!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD), Ransom.Generic!8.E315 (CLOUD)

Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---

© Генеалогия: ✂ Conti-3, ✂ LockBit + другой код >> Sauron

Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Содержание записки о выкупе:

Your Files Have Been Encrypted!

Attention!

All your important files have been stolen and encrypted by our advanced attack.

Without our special decryption software, theres no way to recover your data!

Your ID: [ 35AEE360 ]

To restore your files, reach out to us at: adm.helproot@gmail.com

You can also contact us via Telegram: @adm_helproot

Failing to act may result in sensitive company data being leaked or sold.

Do NOT use third-party tools, as they may permanently damage your files.

Why Trust Us?

Before making any payment, you can send us few files for free decryption test.

Our business relies on fulfilling our promises.

How to Buy Bitcoin?

You can purchase Bitcoin to pay the ransom using these trusted platforms:

xxxxs://www.kraken.com/learn/buy-bitcoin-btc

xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin

xxxxs://paxful.com

Перевод записки на русский язык:

Ваши файлы зашифрованы!

Внимание!

Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.

Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!

Ваш идентификатор: ***

Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com

Вы также можете связаться с нами через Telegram: @adm_helproot

Бездействие может привести к утечке или продаже конфиденциальных данных компании.

НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.

Почему нам доверяют?

Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.

Наш бизнес основан на выполнении наших обещаний.

***

Также используется изображение, заменяющее обои Рабочего стола, с текстом:

SAURON

All your files are encrypted

for more information see #HowToRecover.txt that is located in every encrypted folder

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -

Telegram: @adm_helproot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: eb13533a89da9762d93de5d54966df5f 

SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 

SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 

Vhash: 065076655d155515555078z657z17z2011z35z27z 

Imphash: b5f1a1d1c89893764273d20e9396c5d5

---

IOC: VT, HA, IA, TG

MD5: 75eeb5869fe1fe3a98749b6b31afdab7 

SHA-1: ba4d5f0087b39be43b514dcbbfb35bf478c8345a 

SHA-256: fce945ba2c72acbc82e8129196cd7043f9d205ad545e005a3de8739ba25f493b 

Vhash: 065076655d155515555038z65hz2011z25z27z 

Imphash: 3bc9aa7495560b44d271f3a1b43942f3

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 октября 2024 или раньше: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-528DAF49].[adm.systemic@gmail.com].iXgTi

Записка: #HowToDecrypt.txt

Email: adm.systemic@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41191

BitDefender -> Trojan.GenericKD.75095688

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 25 октября 2024 или раньше: 

Доп. название: Hawk Ransomware

Расширение: .hawk

Пример полного расширения: .id[XX-B2750012].[sup.logical@gmail.com].hawk

Записка: #Recover-Files.txt

Email: sup.logical@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41194

BitDefender -> Gen:Variant.Tedy.659244

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

Symantec -> Ransom.Zombie

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 29 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41225

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 30 октября 2024 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[id-79366a5b-1337].[hedaransom@gmail.com].heda

Записка: #HowToRecover.txt

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41203

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

Malwarebytes -> Ransom.FileCryptor

TrendMicro -> TROJ_GEN.R03BC0DJT24

Вариант от 11 ноября 2024 или раньше: 

Расширение: .A08D7447

Пример полного расширения: .id[XX-73B251EF].[Xdoct0@zohomail.eu].A08D7447

Записка: #Recover-Files.txt

Email: Xdoct0@zohomail.eu

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41233

BitDefender -> Trojan.Generic.37045557

ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ

Microsoft -> Ransom:Win64/Lockbit.AC!MTB

TrendMicro -> Ransom_Lockbit.R002C0DKI24

Вариант от 5 декабря 2024: 

Расширение: .<random 4 chars>

Пример полного расширения: .[ID-F51292E4].[TrustFiles@skiff.com].OJNH

Записки: #README.hta, #README-TO-DECRYPT-FILES.txt 

Email: TrustFiles@skiff.com

Меняет обои Рабочего стола. 

Добавляется в автозагрузку Windows:  

%APPDATA%\microsoft\windows\start menu\programs\startup\zowq.exe

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop28.49123

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader!rfn

TrendMicro -> TROJ_GEN.R002C0DL524

=== 2025 ===

Вариант от 14 февраля 2025 или раньше: 

Доп. название: Heda Ransomware

Расширение: .Heda

Пример полного расширения: .[ID-7A5C4E67-1337].[hedaransom@gmail.com].Heda

Записка: #HowToRecover.txt

Email: hedaransom@gmail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41711

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win64/Filecoder.PP

TrendMicro -> Ransom.Win64.CONTI.SMYPDL1

Вариант от 24 февраля 2025: 

Расширение: .<random 5 chars>

Пример полного расширения: .[ID-F51292E4].[reaction0@tutamail.com].unslu

Записка: #README-TO-DECRYPT-FILES.txt

Email: reaction0@tutamail.com

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.MulDrop29.10200

BitDefender -> Trojan.GenericKD.75904076

ESET-NOD32 -> A Variant Of Win32/Filecoder.OSN

Microsoft -> Ransom:Win32/Conti.IPA!MTB

TrendMicro -> Ransom_Conti.R053C0DC225

Вариант от 11 марта 2025: 

Расширение: .<random 6 chars>

Пример полного расширения: .[ID-F51292E4].[Telegram ID @Adm1n_speed].OJNHOR

Записка: #README-TO-DECRYPT-FILES.txt

Telegram: @Adm1n_speed

IOC: VT, IA, TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41776

BitDefender -> Gen:Variant.Lazy.663648

ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ

Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB

TrendMicro -> TrojanSpy.Win64.NEGASTEAL.YXFCLZ

Вариант от 14 марта 2025 или раньше: 

Сообщение на форуме >>

Расширение (шаблон): .<random 5 chars>

Расширение (пример): .pyfx8

Записка: #Recover-Files.txt

Email: blackdecryptor@gmail.com

Telegram: recoverydatasup@gmail.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, cyfirma, pcrisk, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.