Spring

Spring Ransomware

Spring Conti-based Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью комбинации алгоритмов AES+RSA, при этом часть информации крадется, а затем требует написать в чат Tox, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: Conti (RSA-3072) >> Spring

Сайт "ID Ransomware" Spring пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .spring

Фактически используется составное расширение: .FIND_EXPLAIN.TXT.spring

Записка с требованием выкупа называется: EXPLAIN.txt

Содержание записки о выкупе:

Your data has been downloaded and encrypted!

There is only one way to get your files back:

1. Contact with us.

2. Send us any 3 encrypted files and your personal ID.

3. We will decrypt 3 files for a test (maximum file size 5MB), this ensures that we can decrypt your files.

4. Pay.

5. We will send you the decryption software.

Attention!

Do not rename encrypted files.

Do not try to decrypt with third-party software, this may lead to permanent data loss.

Decrypting your files with third parties may result in an increased price (they add their commission to ours), or you may become a victim of fraud.

Primary contact TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

If you have not received a response within 24 hours, write to this email address: Jonson.Tifoni05634@zohomail.com

Your personal ID: BKJZSQ6***

Перевод записки на русский язык:

Ваши данные загружены и зашифрованы!

Есть только один способ вернуть ваши файлы:

1. Контакт с нами.

2. Отправьте нам любые 3 зашифрованных файла и ваш личный ID.

3. Мы расшифруем 3 файла для теста (максимальный размер файла 5 МБ), это гарантирует, что мы сможем расшифровать ваши файлы.

4. Оплатите.

5. Мы отправим вам программу для расшифровки.

Внимание!

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей), или вы можете стать жертвой мошенничества.

Основной контакт TOX: 3C22ACED588A14E262A7CE3B1A967165F11E8E0542AC9EAA7B8734D630733A1358AAA7D2029C

Если вы не получили ответ в течение 24 часов, напишите на этот адрес электронной почты: Jonson.Tifoni05634@zohomail.com

Ваш личный ID: BKJZSQ6***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

EXPLAIN.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jonson.Tifoni05634@zohomail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

FunkSec, FunkLocker

FunkSec Ransomware

FunkLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.1 BTC, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ghost.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Siggen30.47180, Trojan.Encoder.41486
BitDefender -> Trojan.Ransom.FunkSec.C, Trojan.Ransom.FunkSec.A
ESET-NOD32 -> A Variant Of Win64/Filecoder.RN
Kaspersky -> Trojan.Win32.DelShad.myd, Trojan-Ransom.Win32.Gen.bbwz
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Alevaul!rfn, Trojan:Win32/Acll
Rising -> Ransom.FunkSec!1.127E0 (CLASSIC)

Symantec -> Ransom.Funk
Tencent -> Malware.Win32.Gencirc.10c09325, Malware.Win32.Gencirc.10c0938a
TrendMicro -> Ransom_Funksec.R002C0DAB25, Ransom.Win64.FUNKSEC.THAOFBE
---

© Генеалогия: родство выясняется >>

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Lock

Записка с требованием выкупа называется: README-nwESnQ9XQr.md

Содержание записки о выкупе:

FUNKLOCKER DETECTED

**Congratulations**  Your organization, device has been successfully infiltrated by funksec ransomware!

**Stop**

- Do NOT attempt to tamper with files or systems.

- Do NOT contact law enforcement or seek third-party intervention.

- Do NOT attempt to trace funksec's activities.

**What happened**

- Nothing, just you lost your data to ransomware and can't restore it without a decryptor.

- We stole all your data.

- No anti-virus will restore it; this is an advanced ransomware.

**Ransom Details**

- Decryptor file fee: **0.1 BTC**

- Bitcoin wallet address: *bclqrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq*

- Payment instructions:

 1. Buy 0.1 bitcoin.

 2. Install session from: https://getsession.org/

 3. Contact us with this ID to receive the decryptor:

---hidden information---

**How to buy bitcoin**

- Go to [Coinbase](https://www.coinbase.com/) or any similar website like [Blockchain]

(https://www.blockchain.com/), use your credit card to buy bitcoin (0.1 BTC), and then send it to the wallet address.

**Who we are**

- We are an advanced group selling government access, breaching databases, and destroying websites and devices.

**Websites to visit**

- funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

- funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

- funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

*Start dancing, 'cause the funk's got you now!*

Sincerely,

Funksec cybercrime

Перевод записки на русский язык:

FUNKLOCKER ОБНАРУЖЕН 

**Поздравляем** Ваша организация, устройство были успешно взломаны  funksec ransomware!

**Стоп**

- НЕ пытайтесь вмешиваться в файлы или системы.

- НЕ обращайтесь в полицию или к третьим лицам.

- НЕ пытайтесь отслеживать действия funksec.

**Что произошло**

- Ничего, просто вы потеряли свои данные из-за ransomware и не сможете восстановить их без дешифратора.

- Мы украли все ваши данные.

- Ни один антивирус не восстановит их; это продвинутый ransomware.

**Сведения о выкупе**

- Плата за файл дешифратора: **0,1 BTC**

***

Заменяет обои Рабочего стола своим изображением:  

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-nwESnQ9XQr.md - название файла с требованием выкупа;

RansomwarePassword123downloaded_wallpaper.jpg

Ghost.exe - название вредоносного файла;
ransomware.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\<USER>\Desktop\Ghost.exe

xxxxs://i.imgur.com/HCYQoVR.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL:

xxxx://funkiydk7c6j3vvck5zk2giml2u746fa5irwalw2kjem6tvofji7rwid.onion

xxxx://funknqn44slwmgwgnewne6bintbooauwkaupik4yrlgtycew3ergraid.onion

xxxx://funkxxkovrk7ctnggbjnthdajav4ggex53k6m2x3esjwlxrkb3qiztid.onion

Email: -
BTC: bc1qrghnt6cqdsxt0qmlcaq0wcavq6pmfm82vtxfeq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: c5c47f7a17ef4533d1c162042aa0313b 

SHA-1: b1022afe74471f945b18efed4366598bc6abb192 

SHA-256: c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 

Vhash: 056056655d15655043zb2z583z61z15za013z14z137z 

Imphash: c275cf5ef0de7610abe08c6b7814adba

---

IOC: VT, HA, IA, TG, AR

MD5: 54e383ca658ebd3caaf586f032f1c401 

SHA-1: bc013aace5491c65a869e944123a4344cea6c1f0 

SHA-256: b1ef7b267d887e34bf0242a94b38e7dc9fd5e6f8b2c5c440ce4ec98cc74642fb 

Vhash: 056056655d15655043zb2z553z69za5z14z137z 

Imphash: ce5f91eb3b1ebc7df7d7ab97a153e7b7

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SafePay

SafePay Ransomware

SafePay Hacking Team

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов ChaCha20 + X25519, а затем требует написать на email, связаться через сайты в сети Tor и через децентрализованный мессенджер TON, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SafePay, указано в записке и на сайтах вымогателей. На файле написано: нет данных. Хакеры-распространители: SafePay Team. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Adware.Barys.696
ESET-NOD32 -> A Variant Of Generik.LIMCAPV
Kaspersky -> Trojan.Win32.Agent.xbutvh
Malwarebytes -> Malware.AI.3907704461
Microsoft -> Trojan:Win32/Malgent!MSR
Rising -> Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.14253ea6
TrendMicro -> TROJ_GEN.R002H01AG25
---

© Генеалогия: ✂ из разного кода >> SafePay

Сайт "ID Ransomware" идентифицирует это как SafePay с 7 ноября 2024.  

Информация для идентификации

Активность этого крипто-вымогателя была замечена в октябре - ноябре 2024 г. Ориентирован на англоязычных пользователей. Нацелен на средний и крупный бизнес. Может распространяться по всему миру. Подтвержденные инциденты зафиксированы в Великобритании, США, Австралии, Италии, Новой Зеландии, Канаде, Аргентине, Бельгии, Барбадосе, Бразилии и Германии. В ноябре на сайтах вымогателей в списке было 22 жертвы. 

К зашифрованным файлам добавляется расширение: .safepay

Записка с требованием выкупа называется: readme_safepay.txt

Содержание записки о выкупе:

Greetings! Your corporate network was attacked by SafePay team.

Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.

It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.

ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.

Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.

Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.

We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.

In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.

In order to contact us, please use emails below:

1. ***@protonmail.com

2. ***@protonmail.com

Our blog: 

http://***.onion

Download and install Tor Browser https://www.torproject.org/

Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

Our TON blog:

tonsite://safepay.ton

You can connect through your Telegramm account. 

Перевод записки на русский язык:

Приветствую! Ваша корпоративная сеть подверглась атаке со стороны команды SafePay.

Ваши ИТ-специалисты допустили ряд ошибок при настройке безопасности вашей корпоративной сети, поэтому мы смогли провести в ней довольно много времени и скомпрометировать вас.

Именно неправильная настройка вашей сети позволила нашим экспертам атаковать вас, поэтому относитесь к этой ситуации как к платному тренингу для ваших системных администраторов.

Мы потратили время на анализ ваших данных, включая всю конфиденциальную и конфиденциальную информацию. В результате все важные файлы были зашифрованы, а наиболее интересные для нас были украдены и теперь хранятся на защищенном сервере для дальнейшего использования и публикации в Интернете с открытым доступом.

Теперь у нас есть ваши файлы, такие как: финансовая отчетность, интеллектуальная собственность, бухгалтерские записи, иски и жалобы, файлы персонала и клиентов, а также файлы, содержащие информацию о банковских реквизитах, транзакциях и другой внутренней документации.

Кроме того, мы успешно заблокировали большинство серверов, которые имеют для вас жизненно важное значение, однако после достижения соглашения мы разблокируем их как можно скорее, и ваши сотрудники смогут возобновить свои ежедневные обязанности.

Мы предлагаем взаимовыгодное решение этой проблемы. Вы отправляете нам платеж, и мы сохраняем в тайне факт взлома вашей сети, удаляем все ваши данные и предоставляем вам ключ для расшифровки всех ваших данных.

В случае соглашения наша репутация является гарантией того, что все условия будут выполнены. Никто никогда не будет вести с нами переговоры позже, если мы не выполним свою часть, и мы это четко осознаем! Мы не являемся политически мотивированной группой и не хотим ничего, кроме денег. Если вы заплатите, мы выполним все условия, о которых договорились в процессе переговоров.

Чтобы связаться с нами, используйте адреса электронной почты ниже:

1. ***@protonmail.com

2. ***@protonmail.com

Наш блог:

http://***.onion

Скачайте и установите Tor Browser https://www.torproject.org/

Свяжитесь с нами и ждите ответа, мы гарантируем, что ответим как можно скорее и еще раз все вам объясним более подробно.

Наш блог TON:

tonsite://safepay.ton

Вы можете подключиться через свой аккаунт Telegramm.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

➤ С списке используемых для похищения данных и вымогательства приложения: PowerShell, FileZilla, WinRAR.

➤ Повышение привилегий

Для повышения привилегий SafePay использует технику UAC Bypass Privilege Escalation, тактику, ранее связанную с LockBit и ALPHV/BlackCat. Она включает эксплуатацию процесса DllHost.exe и злоупотребление функциональностью COM-объекта (в частности, CMSTPLUA) для выполнения вредоносных команд с повышенными привилегиями.

➤ Начало атаки

Атака начинается с эксплуатации открытых конечных точек RDP, используя плохо защищенные или неправильно настроенные параметры RDP, что позволяет злоумышленникам получить несанкционированный доступ к корпоративной среде. Затем используется Living Off the Land Binaries (LOLBins), такие как SystemSettingsAdminFlows.exe, чтобы отключить основные функции безопасности Windows Defender. Затем, выполняя ряд команд отключает защиту в реальном времени, отправку образцов и другие защитные механизмы, эффективно нейтрализуя встроенную защиту.

➤ Использование возможностей PowerShell

После успешного отключения средств безопасности SafePay развертывает вредоносный скрипт ShareFinder.ps1 для сканирования сети в поисках  доступных общих ресурсов, выявления конфиденциальных данных и составления карты потенциальных путей бокового перемещения. Это помогает идентифицировать высокоценные цели и подготовиться к эксфильтрации или шифрованию данных. Помимо ShareFinder.ps1, могут использоваться и другие скрипты, инструменты или тактики, чтобы углубить позиции злоумышленников и сохранить устойчивость в скомпрометированной сети.

➤ Процесс выполнения и прекращение обслуживания

SafePay нацеливается на критические процессы и службы. Используя функцию ZwTerminateProcess, завершает процессы, необходимые для баз данных, резервного копирования и приложений производительности. Основные цели: службы баз данных (sql, oracle, dbsnmp), инструменты резервного копирования (encsvc, xfssvccon) и приложения (word, excel, onenote, outlook).

SafePay останавливает критические службы, используя функцию ControlService. Фокусируется на отключении системных и резервных служб, (vss, sqlsvc),антивирусных решений (Sophos и пр.). Эта двухуровневая стратегия гарантирует нейтрализацию защитных механизмов, что значительно усложняет усилия по восстановлению и защите. 

➤ Эксфильтрация данных

В рамках своей работы SafePay включает фазу эксфильтрации данных для расширения возможностей вымогательства. Сначала злоумышленники архивируют конфиденциальные файлы с помощью WinRAR.exe, применяя определенные параметры для оптимизации процесса путем исключения некритических типов файлов, таких как .jpeg, .mov и .exe. Этот избирательный подход гарантирует, что фокус остается на ценных данных.

После фазы архивации злоумышленники переносят собранные данные на удаленные серверы с помощью FileZilla. Затем FileZilla удаляется. 

➤ Проверка локализации

SafePay проверяет, не запущен ли он в одной из стран Восточной Европы. Для этого вызывается GetSystemDefaultUILanguage и проверяется, что полученный идентификатор языка больше идентификаторов кириллического языка. 

➤ Шифрование

После завершения эксфильтрации SafePay шифрует файлы, добавляя расширение .safepay. Это делает критически важные файлы недоступными, оказывает давление на жертву, чтобы она выполнила требования выкупа. Для информирования в каталогах с зашифрованными файлами оставляется записка о выкупе readme_safepay.txt с инструкциями по уплате выкупа и  связи с вымогателями через Tor-сайты (.onion) и мессенджер TON, что обеспечивает анонимность контакта.

Список останавливаемых процессов: 

sql

oracle

ocssd

dbsnmp

synctime

agntsvc

isqlplussvc

xfssvccon

mydesktopservice

ocautoupds

encsvc

firefox

tbirdconfig

mydesktopqos

ocomm

dbeng50

sqbcoreservice

excel

infopath

msaccess

mspub

far

onenote

outlook

powerpnt

steam

thebat

thunderbird

visio

winword

wordpad

notepad

wuauclt

onedrive

sqlmangr

Список останаливаемых служб: 

vss

sqlsvc

memtas

mepocs

msexchange

Sophos

Veeam

backup

GxVss

GxBlr

GxFWD

GxCVD

GxCIMgr

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, некоторые типы изображений, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_safepay.txt - название файла с требованием выкупа;

ShareFinder.ps1 - PowerShell-скрипт; 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 

xxxx://iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion

xxxx://qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion

TON: xxxsite://safepay.ton

Email: ***@protonmail.com, ***@protonmail.com
BTC: -

C2C: 45.91.201.247

77.37.49.40

80.78.28.63

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d1f621b82822b544153f6b531e51a611 

SHA-1: 4278801d47b15c1e9ef94c28c599c3156fd65812 

SHA-256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 

Vhash: 1150566d151d156bzenz7ez2 

Imphash: 37fbdf024566a44c7d1a9acd4db9607d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Huntress, Red Piranha, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sauron

Sauron Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
---

© Генеалогия: ✂ Conti, ✂ LockBit + другой код >> Sauron

Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Содержание записки о выкупе:

Your Files Have Been Encrypted!

Attention!

All your important files have been stolen and encrypted by our advanced attack.

Without our special decryption software, theres no way to recover your data!

Your ID: [ 35AEE360 ]

To restore your files, reach out to us at: adm.helproot@gmail.com

You can also contact us via Telegram: @adm_helproot

Failing to act may result in sensitive company data being leaked or sold.

Do NOT use third-party tools, as they may permanently damage your files.

Why Trust Us?

Before making any payment, you can send us few files for free decryption test.

Our business relies on fulfilling our promises.

How to Buy Bitcoin?

You can purchase Bitcoin to pay the ransom using these trusted platforms:

xxxxs://www.kraken.com/learn/buy-bitcoin-btc

xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin

xxxxs://paxful.com

Перевод записки на русский язык:

Ваши файлы зашифрованы!

Внимание!

Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.

Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!

Ваш идентификатор: ***

Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com

Вы также можете связаться с нами через Telegram: @adm_helproot

Бездействие может привести к утечке или продаже конфиденциальных данных компании.

НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.

Почему нам доверяют?

Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.

Наш бизнес основан на выполнении наших обещаний.

***

Также используется изображение, заменяющее обои Рабочего стола, с текстом:

SAURON

All your files are encrypted

for more information see #HowToRecover.txt that is located in every encrypted folder

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -

Telegram: @adm_helproot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: eb13533a89da9762d93de5d54966df5f 

SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 

SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 

Vhash: 065076655d155515555078z657z17z2011z35z27z 

Imphash: b5f1a1d1c89893764273d20e9396c5d5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, cyfirma, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.