FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> Ransom.FunkLocker
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" FunkLocker идентифицирует с 30 июля 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Starcat

Starcat Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов RSA и ChaCha20, а затем требует выкуп $5000 в XMR, чтобы вернуть файлы. Оригинальное название: Starcat. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41364
BitDefender -> Dump:Generic.Ransom.Spora.01F280B9
ESET-NOD32 -> A Variant Of Win64/Filecoder.RE
Kaspersky -> Trojan.Win32.Agent.xbuthd
Malwarebytes -> Trojan.Dropper
Microsoft -> Ransom:Win64/Filecoder.SWK!MTB
Rising -> Ransom.Filecoder!8.1BA3F (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c081ef
TrendMicro -> Ransom_Filecoder.R002C0DA325
---

© Генеалогия: родство выясняется >> Starcat

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале декабря 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .starcat

Записка с требованием выкупа называется: recover files,view here.txt

Переводы сделаны с помощью Google-переводчика для 13 языков: English, Russian, Chinese, German, Japanese, French, Korean, Portuguese, Thai, Hebrew, Spanish, Italian, Arabic.

Содержание записки о выкупе:

hello, my friend! we have encrypted all your computer files. please do not use antivirus software, otherwise your files will never be recovered. the encryption algorithm uses CHACHA20+RSA4096, and your key is encrypted using RSA16384. in this world, no one can decrypt your files except us. even if you use a supercomputer, you cannot decrypt the files. how to get the files back? you must pay us $5,000 worth of XMR to decrypt your files. you can search for monero virtual currency on google, and then you can see its price and how to trade virtual currency. you only have 7 chances to send us emails, so don't try to bargain with us, it will be bad for you it doesn't help at all, but will only irritate us. if you don't complete the transaction within 7 days, we will delete your key and make all your files public! of course, you can send us 3 files less than 3mb, and we will decrypt them for free. after the decryption is completed, please send the XMR to the address we provide. when sending an email, send us your key and your transaction record together. after we receive your request, we will complete your request within 24 hours. i wish you a happy life!

our email: cos.luise@gmx.com

our XMR address:

48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

your rsa public key:

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
recover files,view here.txt - название файла с требованием выкупа;

star_cat.txt - специальный файл; 
2622375.exe -  название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\star_cat.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
start_cat_encrypt

Сетевые подключения и связи:
Email: cos.luise@gmx.com
XMR: 48hDBzD7J8fMVxcy7J6gTy3tJ3gZDgBgigrzr***

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0df6cb830d2f8f248ebb420e0473e40b 

SHA-1: 4f89623b972450fac3b320779672003b06fa5d9f 

SHA-256: 9cc7fd79b16ed36fe78d8b6bc9ea5e99bb1fb48a39d6051c3961bf503fd16a24 

Vhash: 046066655d5565555173z42zaa7z4035z23zd4z1b7z 

Imphash: c5ae3ee6b43d848e2878befd49850f26

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Hyuna Lee, petik
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Prince

Prince Ransomware

Prince Ransomware Builder 

Variants: MoonMan, Black (Black Prince), Wenda, UwU, Sprunki, LockBitch, Hunter (CrazyHunter), JustIce 

(шифровальщик-вымогатель, OSR, eduware) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ECIES + ChaCha20, а затем требует написать на email вымоагтелей, чтобы узнать как заплатить выкуп в Shitcoin и вернуть файлы. Оригинальное название: Prince Ransomware с вариантами. На файле написано: Windows.exe или что-то другое. Написан на языке программирования Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.41316
BitDefender -> Generic.Ransom.Prince.A.8F27131F
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.Prince
Microsoft -> Ransom:Win64/PrinceRansom.MX!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win64.Trojan-Ransom.Generic.Iajl
TrendMicro -> Ransom_PrinceRansom.R002C0DCE25
---

© Генеалогия: Ransomware Builder «Prince» >> Hunter, HexaLocker, DireWolf

Существует несколько похожих вариантов, сделанных с помощью конструктора программ-вымогателей под названием «Prince Ransomware», который ранее был публично доступен на GitHub. Ссылку давать не будем, чтобы не помогать распространению. 

Скриншот описания размещенного на Github конструктора 

Сайт "ID Ransomware" Prince пока не идентифицирует. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя была в июле - ноябре 2024 г. и продолжилась позже в новых вариантах. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .MOONMAN

Записка с требованием выкупа называется: READTHISNOW.txt

Содержание записки о выкупе:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Your files are encrypted by MoonMan/UWU/Sprunki/LockBitch

===UwU ransomware===

bonziWORLD won

trollbox lost

OWOT lost

seamus lost

collabVM lost

pixelplace lost

boofgang lost

DEAL WITH IT

===UwU ransomware===

PSA TO ALL HATERS: BonziGODS won and bonziworld.org is the keyed gem that will save chatting clients

SPRUNKIGODS WON

ALL HEIL THE SPRUNKI REICH

ALL HEIL THE WENDA POOP VIDEOS

ALL HEIL THE BENJI AND SCARLETT

ALL HEIL THE BONZI BUDDY NFTS

ALL HEIL THE TROLLBOX BATTLE RULE34

PCRisk.com ***

PLEASE CONTACT sn33ds3curity@tutanota.com OR vitollebonzi@gmail.com NO DUMPFORUMS/BREACHFORUMS CONTACT SORRY

YOU SHALL FUCKING PAY $1,488 IN SHITCOIN 357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P

SUBSCRIBE TO xxxxs://www.youtube.com/@BonziPOLSKAOfficial

White Power

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Записки от других вариантов:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью инфицированных или специально подготовленных USB-накопителей (флешек), с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

Build.bat, Builder.exe - начальные файлы для создания шифровальшика; 

Prince-Built.exe - готовый файл шифровальщика; 

Decryptor-Built.exe - готовый файл дешифровальщика; 

READTHISNOW.txt - название файла с требованием выкупа одного из вариантов;
Windows.exe - название вредоносного файла в одном из вариантов.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sn33ds3curity@tutanota.com, vitollebonzi@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7ffcd536703e1b316251cbf1047ef5f6 

SHA-1: c9e00a62948da23bf1711dcd92be5923b46e8f06 

SHA-256: 84715cf1d82e5139d39d8aadb9580ba80393dfa0f63fa14974e4f74a3e69752e 

Vhash: 026086655d15551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Prince Ransomware с вариантами - июль-ноябрь 2024
CrazyHunter Ransomware - апрель-май 2025

HexaLocker Ransomware - январь 2025  или раньше

HexaLocker-2 Ransomware - апрель 2025 или раньше

DarkLulz Ransomware - июнь 2025

CyberVolk Ransomware (hackerk4) - вариант июня 2025

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 апреля 2025:

Доп. название: CrazyHunter

CrazyHunter — это новый вариант вымогателя на основе Go, основанный на семействе вредоносных Prince Ransomware с открытым исходным кодом. 

Сообщение >>

Расширение: .Hunted3

Записка: Decryption Instructions.txt

Файл: aic.exe.exe

---

IOC: VT, IA, TG

MD5: 49ab2985ffb5c565ba8e2995ecee21da 

SHA-1: 372ee9d75d2993b7118ccde04da0c46cb8076255 

SHA-256: 9fdb36773e2f48cb0cfdf0c28045d32f847a888a146c2e5b898f940e5f6f244e 

Vhash: 026066655d5d15541az27!z 

Imphash: 9cbefe68f395e67356e2a5d8d1b285c0

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.42027

BitDefender -> Generic.Ransom.Prince.A.FBE649A3

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.B

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.Prince

Microsoft -> Ransom:Win64/CrazyHunter.YAC!MTB

Rising -> Ransom.Prince!1.12B11 (CLASSIC)

Tencent -> Win64.Trojan-Ransom.Generic.Unkl

TrendMicro -> Ransom_CrazyHunter.R002C0DDE25

Вариант от 22 июня 2025:

Отдельная статья: DarkLulz Ransomware >>

Вариант от 20 июля 2025: 

Самоназвание: JustIce (Just Ice) Ransomware

Сообщение >> https://x.com/siri_urz/status/1947187414310523194

Расширение: .JustIce

Записка: README.txt

Email: dr.sinaway@gmail.com

IOC: VT

MD5: a29a8d4e687229fa181fdae43338da14 

SHA-1: 27e8bd832ab2342f9eb30abc31251b9fd95dd3bd 

SHA-256: ecb88c779301286cd15917c41689afd08da7ffbf4fff932916a0fee092a69959 

Vhash: 026086655d65551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

---

Обнаружения: 

DrWeb -> Trojan.Encoder.42642

BitDefender -> Trojan.GenericKD.76897511

ESET-NOD32 -> A Variant Of WinGo/Filecoder.Prince.A

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.JustIce

Microsoft -> Ransom:Win64/PrinceRansom!rfn

Rising -> Ransom.Prince!8.1CBA5 (CLOUD)

TrendMicro -> Ransom_PrinceRansom.R023C0DGM25

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 WithSecure, PCrisk 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cloak

Cloak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов шифрования, используемых в ARCrypt, а затем требует написать в чат на сайте вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41633
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Cloak
Microsoft -> Ransom:Win32/Babuk!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Babuk
Tencent -> Malware.Win32.Gencirc.10c075b9
TrendMicro -> Ransom_Babuk.R06CC0DCU25
---

© Генеалогия: ✂ Babuk + другой код >> Cloak

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в ноябре-декабре 2024 и продолжилась в 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crYpt

Записка с требованием выкупа называется: readme_for-unlock.txt

Содержание записки о выкупе:

!!! ATTENTION !!!

Your network is hacked and files are encrypted.

Including the encrypted data we also downloaded other confidential information:

Data of your employees, customers, partners, as well as accounting and

other internal documentation of your company.

All data is stored until you will pay.

After payment we will provide you the programs for decryption and we will delete your data.

If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:

1) The personal information of your employees and customers may be used to obtain a loan or

purchases in online stores.

2) You may be sued by clients of your company for leaking information that was confidential.

3) After other hackers obtain personal data about your employees, social engineering will be

applied to your company and subsequent attacks will only intensify.

4) Bank details and passports can be used to create bank accounts and online wallets through

which criminal money will be laundered.

5) You will forever lose the reputation.

6) You will be subject to huge fines from the government.

You can learn more about liability for data loss here:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://gdpr-info.eu/

Courts, fines and the inability to use important files will lead you to huge losses.

The consequences of this will be irreversible for you.

Contacting the police will not save you from these consequences,

but will only make your situation worse.

You can get out of this situation with minimal losses

To do this you must strictly observe the following rules:

DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.

Such actions may DAMAGE them and decryption will be impossible.

DO NOT use any third party or public decryption software, it may also DAMAGE files.

DO NOT Shutdown or Reboot the system this may DAMAGE files.

DO NOT hire any third party negotiators (recovery/police, etc.)

You need to contact us as soon as possible and start negotiations.

Instructions for contacting our team:

Download & Install TOR browser: https://torproject.org

For contact us via LIVE CHAT open our

> Website: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

> Login: CLIENT

> Password: D01EuXJTiTnWR5S*****

If Tor is restricted in your area, use VPN

Меняет обои Рабочего стола на собственное изображение с текстом. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает Брандмауэр Windows для всех сетей, отключает Диспетчер задач.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_for-unlock.txt - название файла с требованием выкупа;

wallpaper.bmp - файл изображения, заменяющий обои Рабочего стола; 
d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Programdata\wallpaper.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:

-A- -R- -C- -R- -Y- -P- -T- -E- -R-

Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Сетевые подключения и связи:
Tor-URL: hxxx://z6ig22odfrlgttti64avskvguqpjlmixzzaepm3xn2pmjkare5rjwpid.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR 

MD5: a99e3627afb443440686fcb10491d954 

SHA-1: ff14a3919c9e4bd0dd4e1b964017de64a0298318 

SHA-256: d00853e592bccd823027e7e685d88c5a1f76a5a36ec5b7073d49ee633b050cc8 

Vhash: 07403e0f7d1015z11z41z1dz1011z1fz 

Imphash: ec87726c07cd7d8c71e0d2c74f21ea77

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 24 декабря:

IOC: IA

=== 2025 ===

Вариант от 27 марта 2025: 

Сообщение >>

IOC: VT, IA, TG

MD5: 4b61967fdf02be7687b1490e15b9fd68 

SHA-1: fad1ec3f9014432f8bc878c1424c7a7e56d6d729 

SHA-256: f4ca0aaa779663297a6fb634fb3c9f775230e52a9fa733073fe8057b0e70a0f5 

Vhash: 01503e0f7d1bz4hz1lz 

Imphash: 394560d9c73b5168747c25caeda6ba9f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.41633

BitDefender -> Gen:Variant.Lazy.627266

ESET-NOD32 -> A Variant Of Win64/TrojanDropper.Agent.LQ

Malwarebytes -> Ransom.Cloak

TrendMicro  -> TROJ_GEN.R002H09CR25

---

Еще один:

IOC: VT, IA + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.