Yurei

Yurei Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем предлагает сотрудничество и требует выкуп за расшифровку файлов. Оригинальное название: Yurei. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43081
BitDefender -> Gen:Variant.Ransom.NightSpire.6
ESET-NOD32 -> WinGo/Filecoder.NightSpire.C Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Malware.AI.2397726836
Microsoft -> Trojan:Win32/Acll!rfn
Rising -> Ransom.Yurei!1.1370B (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Satan.16002323
TrendMicro -> Ransom.Win64.YUREI.SM.go
---

© Генеалогия: родство выясняется >> Yurei

Сайт "ID Ransomware" Yurei пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Yurei


Записка с требованием выкупа называется: _README_Yurei.txt

Содержание записки о выкупе:

--== Yurei ==--

Dear Management,

If you are reading this message, it means that:

|— Your company's internal infrastructure has been fully or partially compromised.

|— All your backups — both virtual and physical — and everything we could access have been completely wiped.

1— Additionally, we have exfiltrated a large amount of your corporate data prior to encryption.

We fully understand the damage caused by locking your internal resources. Now, let's set emotions aside and try to build a constructive dialogue.

WHAT YOU NEED TO KNOW

|— Dealing with us will save you a lot — we have no interest in financially destroying you.

|— We will thoroughly analyze your finances, bank statements, income, savings, and investments, and present a reasonable demand.

|— If you have active cyber insurance, let us know — we will guide you on how to properly use it.

1— Dragging out negotiations will only cause the deal to fail.

PAYMENT BENEFITS

|— Paying us saves time, money, and effort — you can be back on track within approximately 24 hours.

|— Our decryptor works perfectly on all files and systems — you can request a test decryption at any time.

1— Attempting recovery on your own may result in permanent file loss or corruption — in such cases, we won't be able to help.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_README_Yurei.txt - название файла с требованием выкупа;
Yurei.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd[.]onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 425d28263b9cea66a259a86f0fca620f

SHA-1: 95cb337dbb1f77fa8fb1b823f62e6419e92625f8

SHA-256: 49c720758b8a87e42829ffb38a0d7fe2a8c36dc3007abfabbea76155185d2902

Vhash: 026086655d65551d15541az2e!z

Imphash: d42595b695fc008ef2c56aabd8efd68e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Obscura

Obscura Ransomware

Obscura Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Obscura. На файле написано: нет данных. Используется техника BYOVD (Bring Your Own Verificant Driver) для обхода средств защиты.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43182
BitDefender -> Trojan.GenericKD.77264011
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Obscura.A
Kaspersky -> Trojan.Win32.DelShad.ons
Malwarebytes -> Ransom.Obscura
Microsoft -> Ransom:Win64/GoObscura.YBH!MTB
Rising -> Ransom.Obscura!8.1D3C9 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Pjgl
TrendMicro -> Ransom_GoObscura.R002C0DI925
---

© Генеалогия: родство выясняется >> Obscura

Сайт "ID Ransomware" идентифицирует Obscura с 5 сентября 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. или даже раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .obscura

Записка с требованием выкупа называется: README-OBSCURA.txt

Содержание записки о выкупе:

Good day! Your company has failed a simple penetration test.

>> Your network has been completely encrypted by our software.

Our ransomware virus uses advanced cryptography technology that will make it very difficult for you to recover your information.

>> All information has been stolen.

We have stolen all information from all devices on your network, including NAS. The data includes but is not limited to: employee passport details, internal documentation, financial documents, and so on.

>> You have about 240 hours to respond.

If there is no response, all stolen information will be distributed.

We are waiting for you to decide to write to us, and we will be happy to negotiate a ransom price with you. By paying the ransom, you will also receive:

1) a report on how we infiltrated your network

2) instructions + software that decrypts all files

3) our assistance in recovery, if needed.

>> They will not help you; they are your enemies.

Recovery agencies, the police, and other services will NOT HELP you. Agencies want your money, but they do not know how to negotiate. 

If you think you can restore your infrastructure from external backups that we did not access, we warn you:

1) The laws of any country impose huge fines on companies for information leaks.

2) Playing against us will not work in your favor. We will gladly wipe every one of your servers and computers.

When you write to us, we expect to hear from you who you are and what your relationship to the company is.

Your ID: 148061***

TOX: AE55FC0EB1C25A5B081650108F9081E23***

Blog: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Obscura. 2025.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов с помощью команды: 
cmd.exe /c vssadmin delete shadows /all /quiet

Завершает множество процессов, которые могут помешать шифрованию.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключения при шифровании: 

- системные исполняемые файлы и библиотеки (.exe, .dll, .msi, .sys); 

- загрузочные файлы и прошивки (.efi, .boot, .iso, .rom, .bin); 

- конфигурационные файлы и утилиты (.ini, .cfg, .lnk, .hosts, .swapfile); 

- расширение, используемое при шифровании (.obscura). 

Файлы, связанные с этим Ransomware:
README-OBSCURA.txt - название файла с требованием выкупа;
a.exe, r49hz.exe - названия вредоносных файлов.

Исполняемый файл представляет собой бинарный файл Go (включая идентификатор сборки Go) и содержит ряд путей, вроде такого:  /run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/ и /run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e8c19bf10d044fe448a60e3fa0f60d58 

SHA-1: 2f859eeaa01238ed704fe504470186904dc59629 

SHA-256: 1942510d3b5691819636067ec89b7b7bb18f784d819060d687fc0248dbed5047 

Vhash: 026067555d1d15541az25!z 

Imphash: 167344a4df394fbba605fc972e41437a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

H2OWater

H2OWater Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 CTR и RSA-2048, а затем требует выкуп $5000 в USDT, чтобы расшифровать файлы. Оригинальное название: H2OWater. Написан на языке программирования Go. Распространитель: H2OWATER TeAm
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> H2OWater

Сайт "ID Ransomware" H2OWater пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .H2OWATER

Фактически используется составное расширение по шаблону: filename.[cartyjeffery44@gmail.com].H2OWATER

Записка с требованием выкупа называется: Encrypt.html

Содержание записки о выкупе:

You are encrypted!!!

Dear Sir/Madam,We are the H2OWATER TeAm

1. All backup data and entire data are under our control.

2. Please contact us within 24 hours.

3. Please do not repair files or terminate related processes, otherwise it may become impossible to recover.

4. If cooperation goes well, we will not destroy, disclose or sell your data.

5. If you violate the above requirements, all data will be published on the Internet or provided to third party organizations and data recovery will not be provided.

Finally, please pay us a ransom of $5000 USDT within three days as requested

Email:cartyjeffery44@gmail.com

ClientId:

VPMvKJ9hhsHEtXA1StanzGQUliPrhMDBLeUgosrnFvR2hJ+sHY0BsXZMW***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Encrypt.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cartyjeffery44@gmail.com

cartyafter4@gmail.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DarkNetRuss

DarkNetRuss Ransomware

DarkRuss_CyberVolk Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43308
BitDefender -> Trojan.Generic.38800179
ESET-NOD32 -> WinGo/Filecoder.NG Trojan
Kaspersky -> Trojan.Win32.Agent.xcabjn
Microsoft -> Trojan:Win32/Alevaul!rfn
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Win32.Trojan.Agent.Etgl
TrendMicro -> TROJ_GEN.R023H09ID25
---

© Генеалогия: Cybervolk >> DarkNetRuss

Сайт "ID Ransomware" DarkNetRuss пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа — ноябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .DarkRuss_CyberVolk

Записка с требованием выкупа называется: DECRYPT_INSTRUCTIONS.txt

Содержание записки о выкупе:

DARKNETRUSS 2025

HELLO CITIZEN:

YOUR SYSTEM WAS BREACHED BY ZERO-DAY EXPLOITS.

WE DEPLOYED **DARKNETRUSS RANSOMWARE** (AES-256 + CUSTOM-LAYERED OBFUSCATION + MILITARY-GRADE LOCKERS).

> ALL FILES ENCRYPTED: DOCUMENTS | PHOTOS | DATABASES

> BACKUPS DESTROYED: 7/7 CLOUD & LOCAL COPIES WIPED

> WE SEE YOU: WEBCAM & KEYLOGGER ACTIVE SINCE 72 HOURS

> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt

> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt

> READ NOTE ON DESKTOP: DECRYPT_INSTRUCTIONS.txt

*** WARNING ***

ATTEMPTING 3RD-PARTY TOOLS = PERMANENT DATA CORRUPTION

DECRYPTION COST NOW: **Contact Us For Details**

DATA LEAK COUNTDOWN

FAILURE TO PAY IN **12 HOURS** TRIGGERS:

1. PERSONAL DATA AUCTIONED ON DARKNET

→ Banking PDFs | Private chats | ID Scans

2. "EMBARRASSING FOLDER" SHARED TO ALL SOCIAL CONTACTS

3. KEYLOGS + WEBCAM FOOTAGE STREAMED ON TOR NETWORK

4. Whole Database

PAYMENT PROTOCOL

> SEND BTC TO:

bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v

> BTC ACQUISITION:

1. Register at Binance/Kraken

2. Complete KYC verification

3. Buy BTC → Withdraw to EXTERNAL WALLET

4. Send to our address: bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v

CONTACT INSTRUCTIONS

> AFTER PAYMENT:

1. INSTALL SESSION MESSENGER:

hxxps://getsession.org

2. ADD SESSION ID ID:

0588a31386ecb4e5c19ecb47c6c5b6bc1261d18870bd3f1594a6f9d27d7e3e0163

3. SEND PAYMENT PROOF : "DARKNETRUSS UNLOCK"

> NO REPLY? LEAKS GO LIVE IN: [11:59:59]

!!! DISCLAIMER !!!

Your files are fully encrypted. DarkNetRuss Watching You ,

***


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_INSTRUCTIONS.txt - название файла с требованием выкупа;
darkRuss.exe, kht0s.exe - названия вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: bc1q87k2p6dq7sygsukvll8q86znwcagnw0vcdpf7v

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a1e6d2fb310de44a1454007c608b6439

SHA-1: e5f1269f9b776009017c32db8e3cd7cf5a903bcc

SHA-256: 22a06e169db401389caf1ad8da414fabcb554dd1a4dca2b9c7075db8f548d8f8

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 mrglwglwgl, JAMESWT_WT, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackNevas

BlackNevas Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымоагтелям, чтобы узнать как заплатить выкуп и расшифровать файлы. Оригинальное название: BlackNevas. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Generic.38768957
ESET-NOD32 -> A Variant Of Win64/Filecoder.Trigona.C
Kaspersky -> Trojan-Ransom.Win32.Agent.bckd
Malwarebytes -> Malware.AI.3900204784
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Trigona!1.E2AE (CLASSIC)

Symantec -> Ransom.Proton
Tencent -> Malware.Win32.Gencirc.149d156b
TrendMicro -> TROJ_GEN.R002C0DI225
---

© Генеалогия: ✂ Trigona >> BlackNevas

Сайт "ID Ransomware" идентифицирует BlackNevas с 26 августа 2025.

Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .-encrypted


Записка с требованием выкупа называется: how_to_decrypt.txt

Содержание записки о выкупе (начальный фрагмент):

ATTENTION!!!!

Your computer ID:  CAPELLADES

ATTENTION to representatives CAPELLADES!!!!

Your system has been tested for security and unfortunately your system was vulnerable. 

We specialize in file encryption and industrial (economic or corporate) espionage. 

We don't care about your files or what you do, nothing personal - it's just business. 

We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files.

Your computer ID:  CAPELLADES

Please note that if:

- you ignore this message for 7 days, your decryption keys will be deleted;

- an attempt to change the name of an encrypted file will damage the encrypted file, making it impossible to decrypt;

- using third-party free or paid programs will damage the encrypted file, making it impossible to decrypt;

For more detailed information write to us: asherjon@myself.com

Telegram: hxxxs://t.me/BlackNevas

Reserve Email:

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asherjon@myself.com

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

Telegram: @BlackNevas

Tor-URLs: 

hxxx://ctyfftrjgtwdjzlgqh4avbd35sqrs6tde4oyam2ufbjch6oqpqtkdtid.onion

hxxx://kill432ltnkqvaqntbalnsgojqqs2wz4lhnamrqjg66tq6fuvcztilyd.onion

hxxxs://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion/companies

hxxx://z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion/blog

hxxx://black3gnkizshuynieigw6ejgpblb53mpasftzd6pydqpmq2vn2xf6yd.onion

hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion

hxxx://k67ivvik3dikqi4gy4ua7xa6idijl4si7k5ad5lotbaeirfcsx4sgbid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: f34e1ef922fd065e25b55faa021aefae 

SHA-1: 78ba10ca8cad98cea075b6725093a06dfe08d43a 

SHA-256: cb27ae30a0654bc1cf51d476eeef18eea502c406c1c025142b8d2f7c9cafd8f4 

Vhash: 0160b65d5c0d1d151c051078z7b1z35zb5z13za033z16z3 

Imphash: d1ff72de48440e9c1c5a2199d7bda4c2

Связанные (промежуточные) варианты:

IOC: VT: SHA-256: 

3d09e930305cb3aa4ca54a39b0e3749f083d432f202606c8adac8455014b47fc

501821a19ccf59830789849beff94238736adb4b213870a511890c5c8efab2a6

40a40eaf3e2a634d5d9ae4131ffb21c9210d4991ba56b3536bb10284a6e94717

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.