Lumiypt

Lumiypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем предлагает связаться через Telegramс вымоагтелем, чтобы заплатить выкуп и расшифровать файлы. Оригинальное название: Lumiypt. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Lumiypt (Lumi+crypt)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lumiypt

Записка с требованием выкупа называется: Readme.txt

Содержание записки о выкупе:

--- ENGLISH ---

What happened?

All of your files are encrypted and stolen.

Don't waste your and our time to recover your files.

Formatting your pc = lose your encrypted data in partition C

When you format your pc the other partitions will stay encrypted

It is impossible to decrypt your files without our help

Contact me in telegram : @zedfffffza

or visit the link to contact us --> hxxxs://pastebin.com/*** ( open the link and you will know how to contact me ) 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @zedfffffza

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 amine95, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Warlock

Warlock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем предлагают выкупить ключ дешифрования, чтобы расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространение: Warlock Group. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.42802
BitDefender -> Trojan.GenericKD.76936795
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.aeev
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/WarLock.MKV!MTB
Rising -> Ransom.Lockbit!1.12C59 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.1498113a
TrendMicro -> Ransom.Win32.WARLOCK.A
---

© Генеалогия: Babuk NextGen + ✂ LockBit 3.0 >> Warlock

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июля-начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .x2anylock


Записка с требованием выкупа называется: How to decrypt my data.txt

Содержание записки о выкупе:

We are [Warlock Group], a professional hack organization. We regret to inform you that your systems have been successfully infiltrated by us, and your critical data, including sensitive files, databases, and customer information, has been encrypted. Additionally, we have securely backed up portions of your data to ensure the quality of our services.

= = = = > What Happened?

Your systems have been locked using our advanced encryption technology. You are currently unable to access critical files or continue normal business operations. We possess the decryption key and have backed up your data to ensure its safety.

= = = = > lf You Choose to Pay:

Swift Recovery: We will provide the decryption key and detailed guidance to restore all your data within hours.

Data Deletion: We guarantee the permanent deletion of any backed-up data in our possession after payment, protecting your privacy.

Professional Support: Our technical team will assist you throughout the recovery process to ensure your systems are fully restored.

Confidentiality: After the transaction, we will maintain strict confidentiality regarding this incident, ensuring no information is disclosed.

= = = = > If You Refuse to Pay:

Permanent Data Loss: Encrypted files will remain inaccessible, leading to business disruptions and potential financial losses.

Data Exposure: The sensitive data we have backed up may be publicly released or sold to third parties, severely damaging your reputation and customer trust.

Ongoing Attacks: Your systems may face further attacks, causing even greater harm.

= = = = > How to Contact Us?

Please reach out through the following secure channels for further instructions (When contacting us, please provide your decrypt ID):

###Contact 1:

Your decrypt ID: ebf01789-a080-4db7-92b9-ea5717d2****

Dark Web Link: hxxx://zfyti2egsze6uiswodhbaalyy5rawaytv2nzyzdktBsusbewviqqh7yd.onion/touchus.html

Your Chat Key: uraplaiqullfwwxbyxotqfqakhhfjii****

You can visit our website and log in with your chat key to contact us. Please note that this website is a dark web website and needs to be accessed using the

Tor browser. You can visit the Tor Browser official website (https://www.torproject.org/) to download and install the Tor browser, and then visit our website.

###Contact 2:

If you don't get a reply for a long time, you can also download qtox and add our ID to contact us

Download: https://qtox.github.io/

Warlock qTox ID: 84490152E99B9EC4BCFE16080AFCFD6FDCD87512027E85DB318F7B3440982637FC2847F71685

Our team is available 24/7 to provide professional and courteous assistance throughout the payment and recovery process.

We don't need a lot of money, it's very easy for you, you can earn money even if you lose it, but your data, reputation, and public image are irreversible, so contact us as soon as possible and prepare to pay is the first priority. Please contact us as soon as possible to avoid further consequences.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Перезапись диска: 

Warlock использует утилиту writenull.exe, которая после шифрования заполняет диск нулевыми байтами, перезаписывая свободное пространство, что затрудняет восстановление файлов и криминалистический анализ.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список типов файлов, пропускаемых при шифровании:

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx, .x2anylock 

Список пропускаемых директорий: 
$Recycle.Bin, All Users, AppData, Boot, Google, Internet Explorer, Mozilla, Mozilla Firefox, Opera, Opera Software, Tor Browser, ProgramData, Windows, Windows.old

Список игнорируемых файлов:

autorun.inf,  desktop.ini, Program Files, 

boot.ini  iconcache.db, Program Files (x86), 

bootfont.bin, ntldr, #recycle, 

bootsect.bak, ntuser.dat, 

bootmgr, ntuser.dat.log, decryptiondescription.pdf, 

bootmgr.efi, ntuser.ini, config.json, 

bootmgfw.efi, thumbs.db, 

How to decrypt my data.txt, Important!!!.pdf

Файлы, связанные с этим Ransomware:
How to decrypt my data.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Chat: hxxx://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd.onion/touchus.html

Leak Site: hxxx://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 68bd43a00ba948f435ecbdd402914298 

SHA-1: cf0da7f6450f09c8958e253bd606b83aa80558f2 

SHA-256: da8de7257c6897d2220cdf9d4755b15aeb38715807e3665716d2ee761c266fdb 

Vhash: 0650666d155d05556068z82z23z27z13z1fz 

Imphash: 68b4d382d58841049e90c88f8c585bf0

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8a0b41e965e66689e78ca36d3477cb0c 

SHA-1: 8b13118b378293b9dc891b57121113d0aea3ac8a 

SHA-256: 983b4e6edd2b289dd1a389aed908861fd8f0bf7d8e82a916ebe6d4df8642ab54 

Vhash: 1650666d155d05156068z811z23z27z23z1eze 

Imphash: 351664106fcdce1ebc9cf33a0b325e71

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cephalus

Cephalus Ransomware

Alohacrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cephalus. Написан на языке программирования Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.42818
BitDefender -> Trojan.GenericKD.76990500
ESET-NOD32 -> A Variant Of WinGo/Filecoder.MK
Kaspersky -> Trojan-Ransom.Win32.Encoder.aeih
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.FalseSign.Bplw
TrendMicro -> Ransom.Win64.CEPHALUS.A.go
---

© Генеалогия: родство выясняется >> Cephalus

Сайт "ID Ransomware" Cephalus пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине мая 2025 г. и продолжилась в июле-августе. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sss

Записка с требованием выкупа называется: recover.txt

Содержание записки о выкупе:

Dear admin:

We're Cephalus, 100% financial motivated. We're sorry to tell you that your intranet has been compromised by us, and we have stolen

confidential data from your intranet, including your confidential clients and business contracts ,etc.

You have to contact us immediately after you seen this , we have to reach an agreement as soon as possible.

After that your data will be uploaded, your competitors, partners, clients, authorities, lawyer and tax agenesis would be able to access it. We will start mailing and calling your clients.

If you want the proof , contact us , we don't want to embarass anyone for knowing their privacy and company status , it's safer to get the proof through the chat.

As for our demand , we require bitcoin which is kind of cryptocurrency , we're sure you can handle this , the details we'll discuss through the contact below

Our business depends on the reputation even more than many others. If we will take money and spread your information - we will have issues with payments in future. So, we will stick to our promises and reputation.

That works in both ways: if we said that we will email all your staff and publicly spread all your data - we will.

Here are a few ways to get in touch with me.

1. Tox:91 C24CC1586713CA606047297516AF534FE57EFA8C3EA2031B7DF8D116AC751B156869CB8838

Link to download Tox: hxxxs://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe

2. Email:sadklajsdioqw@proton.me

Don't do any silly things, don't treat it lightly too. We got proofs that your data was kept with a number of data security violations of data breach laws. The penalty payments would be huge if we will anonymously sent our briefs and notes about your network structure to the regulators.

Embrace it and pay us. After that your data will be erased from our systems, with proof's provided to you. Also you might request your network improvement report.

Based on your position in the company call your management to speak. DO NOT try to speak speak instead of your superiors, based on our experience, that may lead to disaster.

Your ID: ***

Now you should contact us.

Перевод записки на русский язык (небольшой фрагмент):

Дорогой администратор!

Мы — Cephalus, на 100% финансовая мотивация. С сожалением сообщаем вам, что ваш интранет был скомпрометирован нами, и мы украли

конфиденциальные данные из вашего интранета, включая конфиденциальную информацию о клиентах и ​​деловых контрактах и ​​т. д.

Вы должны связаться с нами сразу же после того, как увидите это сообщение, мы должны достичь соглашения как можно скорее.

После этого ваши данные будут загружены, и ваши конкуренты, партнеры, клиенты, органы власти, юристы и налоговые агенты смогут получить к ним доступ. Мы начнем рассылать письма и звонить вашим клиентам.

Если вам нужны доказательства, свяжитесь с нами. Мы не хотим никого смущать, зная конфиденциальность и статус их компании. Безопаснее получить доказательства в чате.

Что касается нашего требования, нам нужен биткоин, который является  криптовалютой. Мы уверены, что вы справитесь. Подробности мы обсудим по контактам ниже.

***

Вот несколько способов связаться со мной. 

1. Tox: 91C24CC1586713CA606047297516AF534FE57EFA8C3EA2031B7DF8D116AC751B156869CB8838

Ссылка для скачивания Tox: hxxxs://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe

2. Email: sadklajsdioqw@proton.me

Не делайте глупостей и не относитесь к этому легкомысленно.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
recover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: cephalus6oiypuwumqlwurvbmwsfglg424zjdmywfgqm4iehkqivsjyd.onion

Email: sadklajsdioqw@proton.me
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6221b0bf4d365454d40c546cf7133570 

SHA-1: 5d34cd76ff09d2c7045ab47c195e22c178a9a104 

SHA-256: b3e53168fc05aeedea828bd2042e2cc34bbf8193deadab9dd4aa507e5b9c045a 

Vhash: 036096655d65551d15755az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Варианты мая 2025:

IOC: VT: df4a8ae3e3fde13b4e1400c88acbcafe

IOC: VT: 3d0c663a3373a0e46a14fe1890144862

Вариант июля 2025:

6221b0bf4d365454d40c546cf7133570

Вариант от 25 августа 2025:

IOC: VT, IA

MD5: a16a1228d5276eec526c21432a403923 

SHA-1: da8acde6e6143f5cf63859d23c0b0249bbf18d43 

SHA-256: a34acd47127196ab867d572c2c6cf2fcccffa3a7a87e82d338a8efed898ca722 

Vhash: 036086655d65551d15541az2e!z 

Imphash: d42595b695fc008ef2c56aabd8efd68e

---

Обнаружения:

DrWeb -> Trojan.Encoder.42960

BitDefender -> Trojan.Generic.38756662

ESET-NOD32 -> A Variant Of WinGo/Filecoder.MK

Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic

Malwarebytes -> Ransom.Alohacrypt

Microsoft -> Ransom:Win64/Cephalus.GTB!MTB

Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Cephalus

Tencent -> Win64.Trojan-Ransom.Generic.Fflw

TrendMicro -> Ransom.Win64.CEPHALUS.THHAHBE

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

4L4MD4R

4L4MD4R Ransomware

ALAMDAR Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в 0.005 BTC, чтобы вернуть файлы. Оригинальное название: 4L4MD4R (ALAMDAR). На файле написано: 4l4md4r.exe. Написан на языке GoLang. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Generic.38479976
ESET-NOD32 -> A Variant Of WinGo/Injector.AU
Kaspersky -> Trojan-Ransom.Win32.Agent.bcjj
Malwarebytes -> Trojan.Injector.UPX
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Backdoor.Convagent!8.123DC (C64:YzY0Or29Iyipdk/C)
Tencent -> Win32.Trojan-Ransom.Agent.Bdhl
TrendMicro -> TROJ_GEN.R002C0RH125
---

© Генеалогия: MauriGo (Mauri870) >> 4L4MD4R 

Сайт "ID Ransomware" 4L4MD4R пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июkя 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Среди пострадавших называются объекты финансового сектора, логистические операторы и государственные учреждения в США, в Европе и на Ближнем Востоке.

К зашифрованным файлам добавляется расширение: *нет данных*.


Записка с требованием выкупа называется: DECRYPTION_INSTRUCTIONS.html

Содержание записки о выкупе:

YOUR FILES HAVE BEEN ENCRYPTED BY 4L4MD4R RANSOMWARE.

THIS INCLUDES DOCUMENTS, PHOTOS, VIDEOS, DATABASES, ETC.

DO NOT TRY TO DECRYPT OR REPAIR THE FILES.

YOU WILL NOT BE ABLE TO RECOVER THEM.

ANY ATTEMP TO DECRYPT THE FILES WILL RESULT IN PERMANENT DATA LOSS.

A DOUBLE ENCRYPTION WAS APPLIED TO YOUR FILES.

USING UNBREAKABLE ALGORITHMS AND RANDOM KEYS.

YOU WILL NEED TO PAY TO RECOVER YOUR FILES.

WARNING: DO NOT RENAME/DELETE/MOVE/MODIFY ANY OF THE FILES, YOU WILL LOSE THEM FOREVER.

YOUR IDENTIFICATION IS: (DO NOT LOSE IT, I WONT BE ABLE TO HELP YOU WITHOUT THIS)

SEND 0.005 BTC (-$500) TO THE FOLLOWING BTC WALLET:

bc1qqxqe9vsvjmjqc566fgqsgnhlh87fckwegmtg6p

AND SEND YOUR IDENTIFICATION TO THE FOLLOWING EMAIL ADDRESS: m4_cruise@proton.me

YOU WILL RECEIVE AN EMAIL WITH THE INSTRUCTIONS/KEYS TO RECOVER YOUR FILES.

OTHER WAYS TO PAY:

ETHEREUM, LITECOIN, BITCOIN CASH, MONERO AND OTHER CRYPTOCURRENCIES.

CONTACT THE EMAIL ADDRESS ABOVE TO GET THE WALLET ADDRESS.

CAN'T PAY THE AMOUNT?

IM A GENEROS PERSON, THERE ARE OTHER WAYS TO PAY.

CONTACT THE EMAIL ADDRESS ABOVE.

YOUR FILES ARE NOT IMPORTANT TO ME, BUT TO YOU.

PROOF?

SEND ME AN ENCRYPTED FILE (.4l4md4r) MUST BE LESS THAN 5MB.

TO THE EMAIL ADDRESS ABOVE.

I WILL DECRYPT IT AND SEND YOU THE DECRYPTED FILE AS PROOF.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Использует критические эксплойты ToolShell в Microsoft SharePoint, включая CVE-2025-49704, CVE-2025-49706 и CVE-2025-53770. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTION_INSTRUCTIONS.html - название файла с требованием выкупа;

ENCRYPTED_LIST.html - список зашифрованных файлов;
4l4md4r.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://theinnovationfactory.it (145.239.97.206)

hxxxs://ice.theinnovationfactory.it/static/4l4md4r.exe

hxxxs://bpp.theinnovationfactory.it - сервер C2

Email: m4_cruise@proton.me
BTC: bc1qqxqe9vsvjmjqc566fgqsgnhlh87fckwegmtg6p

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, MB

MD5: 90f71cb5df71ae3845ff81edd776b287 

SHA-1: 8334ed80190f525522fb47e72927f389b1680ee1 

SHA-256: 33067028e35982c7b9fdcfe25eb4029463542451fdff454007832cf953feaf1e 

Vhash: 07603e0f7d1bz4!z 

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NebulaRun

Nebula Ransomware

NebulaRun Ransomware

Nebula Decryptor

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES-128-CBC, а затем требует связаться с вымоагтелями через Discord и заплатить за расшифровку файлов. Оригинальное название: Nebula Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.42833
BitDefender -> Generic.Ransom.Hiddentear.A.FDE93146
ESET-NOD32 -> A Variant Of MSIL/Agent_AGen.DEG
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.Nebula
Microsoft -> Trojan:Win32/Leonem!rfn
Rising -> Ransom.RedCrypt!8.1BBB6 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1497cabf
TrendMicro -> Ransom.MSIL.NEBULARUN.SM
---

© Генеалогия: BlackHeart >> BlackDream, BlackLegion, Encry и другие > Nebula (NebulaRun) 

Сайт "ID Ransomware" идентифицирует это как NebulaRun с 22 августа 2025. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июля 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .nbl

Записка с требованием выкупа написана в окне Nebula Decryptor.

Содержание записки о выкупе:

Nebula Decryptor

Your Files Are Encrypted By Nebula

All Your Important Files And Knowledge Is Encrypted With AES-128-CBC

For Payment (No Payment) Connect To Us Thru Discord;

And Provide Your Client ID For Key

Discord Username: yessir063332

To Save Your Files Either You Have To Pay Or Maybe We Could Decrypt Your Files For Free!

Actually Its Free!!!!

Do Not Panic Neither Call Somebody Or Try To Decrypt It Will Result In Permanent Data Loss

And I dont Want Your Files To Be Lost!

Hello!

Who Am I?

I am A AES-128-CBC and Worm Ransomware So If U Dont Want To Get Your Files To Locked Up

Get Bıtdefender Or Kaspersky!

Regards...

-NebulaRansomware

Discord Username: yessir063332

Victim Code: ***

Пароль дешифрования:
test


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
текст с требованием выкупа написан внутри окна Nebula Decryptor;

NebulaRun.nebula.png - файл изображения; 
NebulaRun.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Izoly\Desktop\NebulaRun\NebulaRun\obj\Release\NebulaRun.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Discord: yessir063332

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, MB, IA, TG, AR, VMR 

MD5: 9d82b9408af99a97511ce4f40b04b176 

SHA-1: 95e1dcebb2fb42e2059c99e242fc131951178d4a 

SHA-256: 6a3ebc7e04c827188054cf16dc7a3b1546355a3e6cbd67352be4ddb34f0ff3dd 

Vhash: 23403655151220a7273440411 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.