Monkey

Monkey Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Monkey ransomware. Написан на языке программирования Rust. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43529
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.Monkey.A
Kaspersky -> Trojan.Win32.DelShad.osy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/MonkeyCrypt.PB!MTB
Rising -> Ransom.LockFile!8.12D75 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c3ff97
TrendMicro -> Ransom.Win64.MONKEYRAN.THJBABE
---

© Генеалогия: родство выясняется >> Monkey

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине октября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .monkey


Записка с требованием выкупа называется: How_to_recover_your_files.txt

Вымогатель меняет изображение Рабочего стола на свое изображение:

Содержание записки о выкупе:

Hello,

If you're reading this, your company's network is encrypted and most backups are destroyed. We have also exfiltrated a significant amount of your internal data.

ATTENTION! Strictly prohibited:

- Deleting or renaming encrypted files;

- Attempting recovery with third-party tools;

- Modifying file extensions.

Any such actions may make recovery impossible.

What you need to know:

1. Contact us at monkeyransomware@onionmail.org within 24 hours.

2. Payment after 24 hours will be increased.

3. We offer you a test decryption and proof of data exfiltration.

4. If no agreement is reached, your data will be sold and published.

We're open to communication, but there will be no negotiations after deadline.

Your only chance to get your data back and avoid data leak is to follow our instructions exactly.

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

How_to_recover_your_files.txt - название файла с требованием выкупа;

<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: monkeyransomware@onionmail.org
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e28c75f68f337b23c2306efe83756b50 

SHA-1: d3e54c4edd8cf6c06f73343efa9de5688e4386a7 

SHA-256: 57aebadf554e03a405a30d8ddad8caa8cfe9fa86eb32f672066dcf63691481ca 

Vhash: 0660a66d1555655c051d0072z1e3z91a1z19za5z14z1f7z 

Imphash: 1b8ccf92a5f1c9b8f0b778c468e762a1

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Сделайте Добро!

TRANSLATION INTO ENGLISH

TRANSLATION INTO FRENCH

TRANSLATION INTO SPANISH

Спасибо, что зашли к нам сегодня!

Станьте Добрым Волшебником, помогите детям! 

С 2016 года мы помогаем людям делать добрые дела вместе с проверенными фондами. Вы можете выбрать кому помочь сейчас. 

Просто знайте, что завтра проснётся ребёнок, которому вы помогли сегодня! Каждый пожертвованный рубль действительно решает судьбы детей. Поэтому, пожалуйста, не думайте, что ваши 50, 100, 500 рублей (долларов или евро) не спасут жизнь. 

Сделать Доброе Дело можно здесь и сейчас

Нажмите на ссылку и на открывшемся сайте выберите кому Вы хотите помочь. Любая денежная сумма пойдет на доброе дело, поможет людям или животным. Если люди еще могут как-то помочь друг другу, то животные, наши милые меньшие братья-сестры, сами себе не помогут. Наши предки говорили: «Вернее собаки зверя нет! Милее кошки зверя нет!»... И были тысячи раз правы.

Махатма Ганди говорил: «Величие и моральный прогресс нации можно измерить тем, как эта нация относится к животным». Ученые, мыслители, врачи разных эпох отмечали прямую взаимосвязь бесправия животных с бесправием людей: тому, кто спокойно убивает животное, не составит труда убить и человека. 

Всякий раз, когда Вы получаете зарплату или деньги за сделанную работу, пожертвуйте хоть 100 рублей (долларов или евро) на Доброе дело! И Добро вернётся к Вам сторицей! 

© Amigo-A (Andrew Ivanov) и Добро Mail.ru (Россия) 

Lamia

Lamia Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп 500€ in XMR (Monero), чтобы получить ключ дешифрования и расшифровать файлы файлы. Оригинальное название: Lamia, Lamia Locker. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.43456
BitDefender -> Trojan.GenericKD.77278239
ESET-NOD32 -> Win64/Filecoder.ACJ
Kaspersky -> Trojan-Ransom.Win32.Gen.btjj
Malwarebytes -> Ransom.LamiaLocker
Microsoft -> Trojan:Win32/Znyonm!rfn
Rising -> Ransom.Lamia!1.1335F (CLASSIC)
Tencent -> Malware.Win32.Gencirc.149df57c
TrendMicro -> TROJ_GEN.R002C0DIH25
---

© Генеалогия: родство выясняется >> Lamia 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .enc.LamiaLoader

Записка с требованием выкупа называется: LamiaLoader.txt

Содержание записки о выкупе:

Hello, looks like you got a little snake problem.

Pay us 500€ in XMR Monero and the snakes go away, for ever.

Dont pay and ail files, every single byte becomes unusable, the entire system will be permanently

corrupted and ail data will be sold on our auction platform.

Be nice and pay us, dont talk to anyone and keep quiet, we will handle the rest :)

Our XMR Wallet:

48pgNAez4CLUB4y4iAqbv-/742BP7Tuv8EM2xdBGsBxDDoQdk5bzVcA7NQrk5w4i3pUETrr5gr7xZ5f 5EqoSDj98BYBhPkvU6

You have 72 hours to pay, after we will permanently delete the decryption key.

To get your decryption key you need to contact us via Session:

05a91f81ed92ad37cde73401230a5460d4b3c778277f7d33f27804b8f251e27b3a

You can download Session at: https://getsession.org/

Please follow the instructions on the page to install and setup Session

Include your HWID and proof of payment.

To get your HWID you can use our HWID extractor: hxxxs://workupload.com/file/4zC8SLR9qbp

To get our file decryptor you can foliow this link: hxxxs://workupload.com/file/SwhwRL3KcE6

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LamiaLoader.txt - название файла с требованием выкупа;
LamiaLoader.exe - название вредоносного файла;

Lamia_Decryptor.exe - оригинальный дешифровщик на сайте VirusTotal >>

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -

XMR:

48pgNAez4CLUB4y4iAqbv-/742BP7Tuv8EM2xdBGsBxDDoQdk5bzVcA7NQrk5w4i3pUETrr5gr7xZ5f 5EqoSDj98BYBhPkvU6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 58fd2126651233bf5e64415bc9f9fcfa 

SHA-1: 0d74507ea74a35f21ea65f749bac5ea19ffbd931 

SHA-256: c987932f28c239a591214c0b5504890af61b146dd43ce9bcdaba1789c6223b0c 

Vhash: 0760a66d1555655c051d0042z1e3z91d1z11z4053zacz1f7z 

Imphash: b778099200a9dab63c574e2768bb919a

---

IOC: VT, HA, IA, TG, AR, VMR, JSB (Loader)

MD5: 8d989ed59450840bf69d360795383cb5 

SHA-1: ea9aaf6e385f77af6e43c1badc946d37035e136c 

SHA-256: 431194da56ac840593ffc09ed03fcca3c328100b0e0ba43b19674f0a416874e9 

Vhash: 0460a66d1555655c051d0042z1e3z91d1z11z4053za5z14z1f7z 

Imphash: a0f2ef2c3a5602b1fffcb33fdd130118

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 Bitshadow, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Obscura

Obscura Ransomware

Obscura Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Obscura. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.43182
BitDefender -> Trojan.GenericKD.77264011
ESET-NOD32 -> A Variant Of WinGo/Filecoder.Obscura.A
Kaspersky -> Trojan.Win32.DelShad.ons
Malwarebytes -> Ransom.Obscura
Microsoft -> Ransom:Win64/GoObscura.YBH!MTB
Rising -> Ransom.Obscura!8.1D3C9 (CLOUD)
Tencent -> Win32.Trojan.Delshad.Pjgl
TrendMicro -> Ransom_GoObscura.R002C0DI925
---

© Генеалогия: родство выясняется >> Obscura

Сайт "ID Ransomware" идентифицирует Obscura с 5 сентября 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале сентября 2025 г. или даже раньше. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .obscura

Записка с требованием выкупа называется: README-OBSCURA.txt

Содержание записки о выкупе:

Good day! Your company has failed a simple penetration test.

>> Your network has been completely encrypted by our software.

Our ransomware virus uses advanced cryptography technology that will make it very difficult for you to recover your information.

>> All information has been stolen.

We have stolen all information from all devices on your network, including NAS. The data includes but is not limited to: employee passport details, internal documentation, financial documents, and so on.

>> You have about 240 hours to respond.

If there is no response, all stolen information will be distributed.

We are waiting for you to decide to write to us, and we will be happy to negotiate a ransom price with you. By paying the ransom, you will also receive:

1) a report on how we infiltrated your network

2) instructions + software that decrypts all files

3) our assistance in recovery, if needed.

>> They will not help you; they are your enemies.

Recovery agencies, the police, and other services will NOT HELP you. Agencies want your money, but they do not know how to negotiate. 

If you think you can restore your infrastructure from external backups that we did not access, we warn you:

1) The laws of any country impose huge fines on companies for information leaks.

2) Playing against us will not work in your favor. We will gladly wipe every one of your servers and computers.

When you write to us, we expect to hear from you who you are and what your relationship to the company is.

Your ID: 148061***

TOX: AE55FC0EB1C25A5B081650108F9081E23***

Blog: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Obscura. 2025.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов с помощью команды: 
cmd.exe /c vssadmin delete shadows /all /quiet

Завершает множество процессов, которые могут помешать шифрованию.  

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключения при шифровании: 

- системные исполняемые файлы и библиотеки (.exe, .dll, .msi, .sys); 

- загрузочные файлы и прошивки (.efi, .boot, .iso, .rom, .bin); 

- конфигурационные файлы и утилиты (.ini, .cfg, .lnk, .hosts, .swapfile); 

- расширение, используемое при шифровании (.obscura). 

Файлы, связанные с этим Ransomware:
README-OBSCURA.txt - название файла с требованием выкупа;
a.exe, r49hz.exe - названия вредоносных файлов.

Исполняемый файл представляет собой бинарный файл Go (включая идентификатор сборки Go) и содержит ряд путей, вроде такого:  /run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/ и /run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://obscurad3aphckihv7wptdxvdnl5emma6t3vikcf3c5oiiqndq6y6xad.onion/

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e8c19bf10d044fe448a60e3fa0f60d58 

SHA-1: 2f859eeaa01238ed704fe504470186904dc59629 

SHA-256: 1942510d3b5691819636067ec89b7b7bb18f784d819060d687fc0248dbed5047 

Vhash: 026067555d1d15541az25!z 

Imphash: 167344a4df394fbba605fc972e41437a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

H2OWater

H2OWater Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 CTR и RSA-2048, а затем требует выкуп $5000 в USDT, чтобы расшифровать файлы. Оригинальное название: H2OWater. Написан на языке программирования Go. Распространитель: H2OWATER TeAm
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> H2OWater

Сайт "ID Ransomware" H2OWater пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .H2OWATER

Фактически используется составное расширение по шаблону: filename.[cartyjeffery44@gmail.com].H2OWATER

Записка с требованием выкупа называется: Encrypt.html

Содержание записки о выкупе:

You are encrypted!!!

Dear Sir/Madam,We are the H2OWATER TeAm

1. All backup data and entire data are under our control.

2. Please contact us within 24 hours.

3. Please do not repair files or terminate related processes, otherwise it may become impossible to recover.

4. If cooperation goes well, we will not destroy, disclose or sell your data.

5. If you violate the above requirements, all data will be published on the Internet or provided to third party organizations and data recovery will not be provided.

Finally, please pay us a ransom of $5000 USDT within three days as requested

Email:cartyjeffery44@gmail.com

ClientId:

VPMvKJ9hhsHEtXA1StanzGQUliPrhMDBLeUgosrnFvR2hJ+sHY0BsXZMW***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Encrypt.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cartyjeffery44@gmail.com

cartyafter4@gmail.com

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackNevas

BlackNevas Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать вымоагтелям, чтобы узнать как заплатить выкуп и расшифровать файлы. Оригинальное название: BlackNevas. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.Generic.38768957
ESET-NOD32 -> A Variant Of Win64/Filecoder.Trigona.C
Kaspersky -> Trojan-Ransom.Win32.Agent.bckd
Malwarebytes -> Malware.AI.3900204784
Microsoft -> Trojan:Win32/Egairtigado!rfn
Rising -> Ransom.Trigona!1.E2AE (CLASSIC)

Symantec -> Ransom.Proton
Tencent -> Malware.Win32.Gencirc.149d156b
TrendMicro -> TROJ_GEN.R002C0DI225
---

© Генеалогия: ✂ Trigona >> BlackNevas

Сайт "ID Ransomware" идентифицирует BlackNevas с 26 августа 2025.

Информация для идентификации

Активность этого крипто-вымогателя была в начале августа 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .-encrypted


Записка с требованием выкупа называется: how_to_decrypt.txt

Содержание записки о выкупе (начальный фрагмент):

ATTENTION!!!!

Your computer ID:  CAPELLADES

ATTENTION to representatives CAPELLADES!!!!

Your system has been tested for security and unfortunately your system was vulnerable. 

We specialize in file encryption and industrial (economic or corporate) espionage. 

We don't care about your files or what you do, nothing personal - it's just business. 

We recommend contacting us as your confidential files have been stolen and will be sold to interested parties unless you pay to remove them from our clouds and auction, or decrypt your files.

Your computer ID:  CAPELLADES

Please note that if:

- you ignore this message for 7 days, your decryption keys will be deleted;

- an attempt to change the name of an encrypted file will damage the encrypted file, making it impossible to decrypt;

- using third-party free or paid programs will damage the encrypted file, making it impossible to decrypt;

For more detailed information write to us: asherjon@myself.com

Telegram: hxxxs://t.me/BlackNevas

Reserve Email:

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asherjon@myself.com

compsupp@techie.com

paymeuk@consultant.com

Serina5Murrock@email.com

Telegram: @BlackNevas

Tor-URLs: 

hxxx://ctyfftrjgtwdjzlgqh4avbd35sqrs6tde4oyam2ufbjch6oqpqtkdtid.onion

hxxx://kill432ltnkqvaqntbalnsgojqqs2wz4lhnamrqjg66tq6fuvcztilyd.onion

hxxxs://hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion/companies

hxxx://z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion/blog

hxxx://black3gnkizshuynieigw6ejgpblb53mpasftzd6pydqpmq2vn2xf6yd.onion

hxxx://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid.onion

hxxx://k67ivvik3dikqi4gy4ua7xa6idijl4si7k5ad5lotbaeirfcsx4sgbid.onion

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR 

MD5: f34e1ef922fd065e25b55faa021aefae 

SHA-1: 78ba10ca8cad98cea075b6725093a06dfe08d43a 

SHA-256: cb27ae30a0654bc1cf51d476eeef18eea502c406c1c025142b8d2f7c9cafd8f4 

Vhash: 0160b65d5c0d1d151c051078z7b1z35zb5z13za033z16z3 

Imphash: d1ff72de48440e9c1c5a2199d7bda4c2

Связанные (промежуточные) варианты:

IOC: VT: SHA-256: 

3d09e930305cb3aa4ca54a39b0e3749f083d432f202606c8adac8455014b47fc

501821a19ccf59830789849beff94238736adb4b213870a511890c5c8efab2a6

40a40eaf3e2a634d5d9ae4131ffb21c9210d4991ba56b3536bb10284a6e94717

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 fbgwls245
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.