Different HiddenTear-based Ransomware
Сборник разных вариантов за 2019-2022 годы
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в долларах или BTC, чтобы вернуть файлы. Оригинальное название: может быть указано или вообще не используется. На файлах может быть что-то написано, чтобы ввести в заблуждение. Основанные на HiddenTear программы-вымогатели (программы-шантажисты) используются по всему миру и могут появиться в любой стране, не зависимо от национальности и религии хакеров-разработчиков и самих вымогателей.
Мы ничего не знаем о вымогателях и распространителях, и не собираем их личную информацию. Множество предыдущих вариантов можно увидеть в Списке по алфавиту рядом с названием программы-вымогателя.
В списке по алфавиту используются специальные символы для легенды:
Ⓗ - шифровальщик на основе HiddenTear, дешифруемый
Ⓗ② - шифровальщик на основе EDA2, дешифруемый
Ⓗ> - шифровальщик на основе HiddenTear, модифицированный
Ⓗ②> - шифровальщик на основе EDA2, модифицированный
Обнаружения (ранние):
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.<new_number>, Trojan.EncoderNET.HiddenTear.1
BitDefender -> Generic.Ransom.Hiddentear.A.*, Gen:Heur.Ransom.HiddenTears.1, Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.HiddenTear, Trojan.Ransom.Filecoder, Trojan.Ransom.REntS.Gen.1, Trojan.Ransom.<new_name>
Avira (no cloud) -> TR/Ransom.*, HEUR/AGEN.<new_number>
ESET-NOD32 -> MSIL/Filecoder.AQ, A Variant Of MSIL/Filecoder.Y, A Variant Of MSIL/Filecoder.AKKaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.MSIL.Tear, HEUR:Trojan-Ransom.MSIL.Tear.gen
Malwarebytes -> Ransom.HiddenTear, Ransom.HiddenTear.Generic, Ransom.<new_name>
Microsoft -> Ransom:MSIL/HiddenTear.A, Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.HiddenTear!1.* (CLOUD), Ransom.Generic!8.* (CLOUD), Ransom.Generic!8.***, Ransom.Ryzerlo!8.* (CLOUD), Ransom.HiddenTear!1.* (CLASSIC)
Symantec -> Ransom.HiddenTear, Ransom.HiddenTear!g1, ML.Attribute.HighConfidence, Trojan.Gen.2
TrendMicro -> Ransom_RAMSIL.SM, Ransom_HiddenTear.R*, Ransom_CRYPTEAR.A, Ransom_CRYPTEAR*.A, Ransom_CRYPTEAR.B, Ransom_CRYPTEAR.*, Ransom_HIDDENTEAR*.A, Ransom_HiddenTear.*
---
Под знаком "*" для краткости скрыты цифры, названия и буквы разных вариантов, описать все невозможно.
---
To AV vendors: If you put things in order in the names, then let me know!
AV вендорам: Если вы наведете порядок в названиях, сообщите мне!
© Генеалогия: HiddenTear, EDA2 и модификации >> Different HiddenTear
Изображение — логотип статьи
К зашифрованным файлам могут добавляться расширения: .encrypted
.Encrypted
.crypted
.Crypted
.locked
.<original_name>
.LOCKED
и другие
К зашифрованным файлам может добавляется составное расширение по шаблону, придуманному другими вымогателями:
Внимание! Расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с указанными здесь вариантами.
Активность крипто-вымогателей на основе HiddenTear и EDA2 началась со второй половины 2015 (после августа) и набрала обороты в начале 2016 гг. В данной статье будут очень кратко описаны различные варианты, для которых я не сделал отдельных статей, потому что получил очень мало информации или не располагал свободным временем.
Чаще всего вымогателями применяются варианты, ориентированные на англоязычных пользователей. Они могут распространяться в какой-то отдельно взятой стране или по всему миру.
Записка с требованием выкупа может называться по-разному, быть на разных языках, иметь разный текст, но чаще всего используются следующие англоязычные файлы:
READ_IT.txt
READ_ME.txt
README.txt, Readme.txt, ReadMe.txt
README!!!.txt
READ_IT.html
READ_IT_0.txt, READ_IT_1.txt ...
DECRYPT.TXT
DECRYPT_FILES.txt
FILES_ENCRYPTED.txt
How Recovery Files.txt
HOW TO DECRYPT FILES.txt
HOW TO RECOVER YOUR FILES !!!.txt
Содержание записки о выкупе:
*** can be anything ***
Перевод записки на русский язык:
*** может быть любым ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходят, требуется разрешение на запуск. Таким образом, если администратор сети или пользователь ПК намеренно не отключили эту защиту, то при запросе UAC на запуск неизвестного приложения, нужно запретить запуск.
Список файловых расширений, подвергающихся шифрованию:
Большинство популярных форматов.
Чаще всего целями могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
hidden-tear.exe - название вредоносного файла
eda2.exe - название вредоносного файла
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL-1: hxxxs://github.com/utkusen/hidden-tear
URL-2: hxxxs://github.com/utkusen/eda2
Email: разные в каждом случае
BTC: разные в каждом случае
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
смотрите после каждого варианта ниже.
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Рання история использования HiddenTear:
HiddenTear Ransomware - август 2015
EDA2 Ransomware - сентябрь 2016
Memekap Ransomware - декабрь 2015
Magic Ransomware - 2-я половина января 2016
KryptoLocker Ransomware - начало февраля 2016
В списке по алфавиту используются специальные символы для легенды:
Ⓗ - шифровальщик на основе HiddenTear, дешифруемый
Ⓗ② - шифровальщик на основе EDA2, дешифруемый
Ⓗ> - шифровальщик на основе HiddenTear, модифицированный
Ⓗ②> - шифровальщик на основе EDA2, модифицированный
=== БЛОК ВАРИАНТОВ === BLOCK OF VARIANTS ===
Вариант от 17 сентября 2019:
Расширение: .shade8
Записка: READ_THIS.txt
Email: 4shadow@protonmail.com
Проект: D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb
➤ Содержание записки:
If you want your data 4shadow@protonmail.com
➤ Файл изображения:
http://i.imgur.com/ObBI8In.jpg -> shade8.jpg
Текст на этом файле: If your data is necessary for you, we are
the only ones who can give it back to you.
4shadow@protonmail.com
SHADOW
---
Файлы: fatura.exe, vodafone.bat
Дата создания файла: 27 апреля 2019.
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29626
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Generic.Starter.4.56911EB2
ESET-NOD32 -> A Variant Of Generik.EJKITMK
Kaspersky -> Trojan-Ransom.Win32.Encoder.evm
Malwarebytes -> Ransom.HiddenTear
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Encoder.Ecjt
TrendMicro -> Ransom.Win32.SHADOW.THIBFAIA
Вариант от 4 октября 2019:
Расширение: .bguu
Записка: HACKED.txt
Email: скрыт исследователем.
BTC: 36X2qqBh3DuUczSym5mMaqE5kdG2yApLuw
=== 2020 ===
Вариант от 1 февраля 2020:
Статус: Файлы можно расшифровать.
Расширение: .Huy
Записки: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Результаты анализов:
VT + VT
Вариант от 29 июля 2020:
Статус: Файлы можно расшифровать.
Расширение: .LOCKED
Составное расширение: .id-035C6221[FileFixer@ProtonMail.com].LOCKED
Записка: HOW TO RECOVER YOUR FILES !!!.txt
Расположение: C:\Windows\Vss\HOW TO RECOVER YOUR FILES !!!.txt
Email: FileFixer@ProtonMail.com, JustBTC@elude.in
Файл EXE: ALL YOUR FILES HAVE BEEN ENCRYPTED!!!!.exe
Расположение: C:\Windows\Vss\ALL YOUR FILES HAVE BEEN ENCRYPTED!!!!.exe
Анализируемый файл: __HiddenTear _Ransomware.exe (hidden-tear.exe)
Файл проекта: C:\Users\yaghot\source\repos\MessageForm\MessageForm\obj\Debug\MessageForm.pdb
Содержание записки:
All your files have been encrypted. If you want to restore them , write us to the e-mail : FileFixer@ProtonMail.com
Write this ID in the title of Your message : FA653E5F
In Case of no answer in 24 hours write us to theese e-mail : JustBTC@elude.in
Dont rename encrypted Files and dont try decrypt them , maybe lost them forever
---
Специальный файл: 035C6221.txt
Содержание этого файла:
ID : 035C6221
Password : qr=mMsI5PObXa7YTeWrQ
---
Содержание другой записки:
All Your Have Been Encrypted!
You have to pay for decryption in Bitcoin. The price depends on how fast you write to us. After payment we will send to you the decryption tool, that will decrypt all your files.
Free decryption as guarantee
The esiest way to buy bitcoin is LocalBitcoins Site , You have to register, click buy bitcoin and select seller by payment method and price.
How to Obtain Bitcoins
Also you can find other places to buy Bitcoin and beginner guide here :
***
- Decryption of your files with the help third parties may cause increased price(they add their fee to our) or you can becomea victim of scam.
Dont rename encrypted Files and dont try decrypt them , maybe lost them forever.
---
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32269
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.HiddenTear
TrendMicro -> Ransom.MSIL.HIDDENTEAR.SMP
Август 2020: Обновление варианта от 29 июля 2020:
Статус: Файлы можно расшифровать.
Расширение: .LOCKED
Записка: HOW TO RECOVER YOUR FILES !!!.txt
Email: MyFiles1@ProtonMail.com, JustBTC@ProtonMail.com
Результаты анализов: VT + IA
Вариант от 14 августа 2020:
Расширение: .2spyware
Записка: READ_IT.txt
Здесь нет реального контакта для связи с вымогателями. Вымогатель дискредитирует других, скрывается за чужим именем и чужим сайтом.
Файл: hidden-tear.exe (local.exe)
Результаты анализов:
VT + AR + IA
➤ Содержание записки:
I'm Julie Splinters, i have my most full of shit.
Sometimes i grow it on our website 2-spyware.com! If you don't pay me 10 billion dollars in 72 hours,
i will throw shit on your face. contact me via our website 2-spyware.com, By the way, Ugnius is amnominus hacker team leader
Don't try to use REIMAGE, It wont decrypt this. nothing can decrypt this. its made by linas secret scriptcode LINASCODE. And also, kigguolis7code
Вариант от 18 августа 2020:
Расширение: .spybuster
Записка: READ_IT.txt
Email: sales@onserve.ca
URL: hxxxs://en7brhxplmzjhqd.m.pipedream.net
Здесь нет реального контакта для связи с вымогателями. Вымогатель дискредитирует других, скрывается за чужим именем и чужим сайтом.
Файл: hidden-tear.exe (local.exe)
➤ Содержание записки:I'm worker of Spybuster Anti-Malware Team ( Onyx Mods LLC ), I have decided to infect you.
Contact me via onyxmodsllc.com! Our company Onyx Mods LLC will guarantee your files
Our partner 2-spyware.com is also helping us scam world!
contact us at sales@onserve.ca
Вариант от 20 августа 2020:
Расширение: .volvo33_36_37_39__44
Twitter: youtubetiitus
Instagram: youtubetiitus
Discord: Tiitus#3617
Файл: volvo.exe
Результаты анализов:
VT + HA
Вариант от 30 августа 2020:
Расширение: .Fappy
Записка: HOW TO DECRYPT FILES.txt
Email: fappism@opentrash.com
Файл: Fortnite Cheats 2020.exe
Результаты анализов: VT + IA ➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.8
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> Generic.Ransom.Hiddentear.A.DE4F6463
ESET-NOD32 -> MSIL/Filecoder.ACD
Malwarebytes -> Ransom.Fappy
Tencent -> Msil.Trojan.Cloumid.Sxyq
TrendMicro -> Ransom.MSIL.HIDDENTEAR.AI
Вариант от 1 сентября 2020:
Расшиение: .UGMH
Записка: Pwned.txt
Вариант от 1 сентября 2020:
Расшиение: .klavins
Записка: не указано название
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
URL: hxxxs://enfiniql2buev6o.m.pipedream.net
Файлы: hidden-tear.exe, software-launcher.bin.exe
Вариант от 5 сентября 2020:
Расширение: .reimageplus
Email: support@reimageplus.com
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Здесь нет реального контакта для связи с вымогателями. Вымогатель скрывается за чужим именем и чужим сайтом.
➤ Содержание записки:
Your files have beer, encrypted by the Reimageplus.com Ransomware
pay 10k to this bitcoin address : 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
after that, email support@reimageplus.com to decrypt
Файл: software-launcher.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender-> Generic.Ransom.Loli.8D00106D
ESET-NOD-> 32A Variant Of MSIL/Filecoder.Y
Microsoft-> Ransom:MSIL/Ryzerlo.A
Rising-> Ransom.HiddenTear!1.C60C (CLASSIC)
Symantec-> Ransom.HiddenTear!g1
Tencent-> Win32.Trojan.Generic.Ijd
TrendMicro-> Ransom_CRYPTEAR.SM
Вариант от 8 сентября 2020:
Расширение: .pastaware
Записка: YOU HAVE BEEN HACKED.txt
BTC: 13eFldDeLLTZv7K41F4yRMY6vhZgdl9vJe
➤ Содержание записки:
Your Files Have Been Stolen! Good 3ob Running 5 Year Old RansomWare!
Send $500 USD Worth Of Bitcoin To 13eFldDeLLTZv7K41F4yRMY6vhZgdl9vJe and Your Files Will Be Decrypted!.
If You Do Not Send The Money In 72 Hours Your Files Will Be Deleted
Вариант от 11 сентября 2020:
FIESTARANSOMWARE
Файл проекта: C:\Users\fsi\Desktop\eda2\eda2\obj\Release\Fiesta.pdb
Файл: Fiesta.exe
Результаты анализов:
VT + IA
Вариант от 26 сентября 2020:
Расшиение: .Zyr
Записка: HOW TO DECRYPT FILES.txt
Email: zyrkal@airmail.cc
BTC: 3PkozSdYYVHeFdhF9UoEdjc3YAz5VafmVG
Файл проекта: C:\Users\Евгений\Desktop\Gula\Gula\obj\Debug\Zyr.pdb
Файл: Zyr.exe (local.exe)
Результаты анализов:
VT + AR + IA
Вариант 10 октября 2020:
Статус: Файлы можно расшифровать.
Самоназвание: MadDog
Расширение: .MadDog
Шаблон расширения: .id-<random>.[maddogteam@airmail.cc].MadDog
Примеры расширений: .id-UYXSDAOM.[maddogteam@airmail.cc].MadDog
.id-N4BQCA40.[maddogteam@airmail.cc].MadDog
Записка-1: Info.hta
Записка-2: FILES ENCRYPTED.txt
Автозагрузка HTA-записки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Info.hta
Текст и шаблон записок заимствованы у Dharma Ransomware, чтобы обмануть пострадавших и вынудить их заплатить выкуп. Email: maddogteam@airmail.cc, conactme@fake-box.com
Файл: MadDog.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32792
ALYac -> Trojan.Ransom.HiddenTear
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.96BC0EC7
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACL
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> Trojan.Phobos/HELP!1.BCC4 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Eadv
TrendMicro -> Ransom_RAMSIL.SM
Вариант от 23 октября 2020:
Расширение: .rogue
Записка: READ_IT.txt
Файл: Attachment.exe
Результаты анализов: VT + IA
Вариант от 2 октября 2020:
Расширение: .crypt
Пароль: password
D:\Visual Studio\Update\Update\obj\Debug\Update.pdb
D:\Visual Studio\Update\UpdateDecrypter\obj\Debug\UpdateDecrypter.pdb
Вариант от 14 нобря 2020:
Расширение: .ZqVIkE
Записка: @READ_ME@.txt
Email: contact.body.alhoha@gmail.com
Вариант от 14 ноября 2020:
Кажется, это тоже связано с предыдущим сообщением.
Вариант от 10 ноября 2020:
Самоназвание: BMI DataSender
Расширение: .r2block
Telegram: @RezaEI68
Файл проекта: C:\Users\Reza\Desktop\BMI DataSender\WindowsFormsApplication1\obj\Debug\BMI DataSender.pdb
Файл EXE: BMI DataSender.exe
Результаты анализов: VT + IA ➤ Обнаружения:
DrWeb -> Trojan.Encoder.33177
BitDefender -> Trojan.GenericKD.44434282
ESET-NOD32 -> MSIL/Filecoder.ADH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmodng.gen
Malwarebytes -> Trojan.Agent
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Crypmodng.Eiln
TrendMicro -> Ransom_Crypmodng.R069C0OK520
Вариант от 2 декабря 2020:
Расширение: .LOCKED
Email: bhidhizatta@protonmail.com
Файл: ForbiddenTear.exe
➤ Обнаружения:
BitDefender -> Generic.Ransom.Hiddentear.A.766E2A43
DrWeb -> Trojan.KillProc2.14839
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FI
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:MSIL/HiddenTear.DB!MTB
Rising -> Ransom.HiddenTear!1.CF90 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Eehn
TrendMicro -> Ransom.MSIL.FILELOCK.SM
Вариант от 10 декабря 2020:Статус: Файлы не могут быть расшифрованы без уплаты выкупа.
Расширение: .good
Tor-URL: xxxx://qmqwu5bphsw3xywxqisf336eu7ajrwp64png7qd34caxmz6hmkmuv6id.onion/szibis
Вариант от 14 декабря 2020:
Файл с ID: unique_id.txt
Email: icleanupthemess@tutanota.com
icleanupthemess@yandex.com
andoria13@yandex.com
twentyonedecember@cock.li
twentyonedecember@cock.email
twentyonedecember@firemail.cc
underthedomeandoria@secmail.pro
truemessiah13@criptext.com
kingTrumpissave@mai.ru
marlynmansonl@elud.email
corona396@techmail.info
corona66@outlookpro.net
samishere@fake-box.com
kingsam83@mail2tor.com
BTC: 3GvcRNFwrP4X3y9jd4L6NbcoaDkD1TX27q
3LqBSjPsnZcJD43LHMy69tz7CCqAWXjn4H
3MnXhB3kiGBxd6vUciCX2oFdRSdwa8XJ4H
Вариант от 16 декабря 2020:
Расширение: .fmfgmfgm
Вариант от 27 декабря 2020:
Расширение: .encryptedQjbQpkgd.sett4545
Email: Figskici@tutanota.com
Результаты анализов: VT + AR ➤ Обнаружения:
ALYac -> Generic.Ransom.Small.9E94571F
Avira (no cloud) -> HEUR/AGEN.1129970
BitDefender -> Generic.Ransom.Small.9E94571F
DrWeb -> Trojan.EncoderNET.HiddenTear.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> Ransom.HiddenTear!g1
=== 2021 ===
Вариант от 5 января 2021:
Расширение: .ZIEBF_4561drgf
Email: Z6QF4Q@TUTANOTA.COM
Вариант из января 2020: VT + IA + AR + TG К позору Microsoft для атаки использует технологии Cmd, VBScript, PowerShell, а также легко отключает Windows Defender и защиту в реальном времени.
URL изображения: xxxps://media.discordapp.net/attachments/599226424695455755/795805240900321330/temp10.png
Вариант от 15 января 2021:
Расширение: .a
Записка: READ_ME.txt
Email: blackheel@protonmail.com
BTC: 19xxGz9WDmacNZ9P83v6QMmMgbCQxC1gnR
Результаты анализов: VT + VMR
Вариант от 16 января 2021:
Расширение: .fcorp
Записка: READ_IT.txt
BTC: 1A1zRgFtPWT75vCWQ7K2PLX3cnwyHH1833
Вариант от 27 ноября 2020:
Расширение: .Motion
Файл: Microsft Windows Update.exe. Описание: Motion Team.
➤ Обнаружения:
ALYac -> Generic.Ransom.CloudSword.641AA30A
Avira (no cloud) -> WORM/Agent.efipd
BitDefender -> Generic.Ransom.CloudSword.641AA30A
DrWeb -> Trojan.AutorunNET.1
ESET-NOD32 -> A Variant Of MSIL/Agent.GX
Rising -> Ransom.Cute!1.CF7C (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.FILELOCK.SM
Вариант от 6 февраля 2021:
Расширение: .dark
Повторы для зашифрованных файлов: .dark.dark, .dark.dark.dark
Записка: Important.txt
Email: darksimo@protonmail.com
BTC: 1EdxGR5fxRjhWtxNSbyDHv4nVdx5BP54L2
Файлы: DarkWorld.exe, Loader.exe, MpCmdRun.exe, Vmware Workstation 17 + Crack feb 2021.exe
Результаты анализов: VT + VT ➤ Обнаружения:
Avira (no cloud) -> TR/Ransom.rhahz, HEUR/AGEN.1134525
BitDefender -> Generic.Ransom.Hiddentear.A.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEE, A Variant Of MSIL/Packed.VMProtect.A Suspicious
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Ransom:MSIL/HiddenTear.DG!MTB
Rising -> Ransom.HiddenTear!8.DC9E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hviw, Msil.Trojan.Encoder.Sudq
TrendMicro -> Ransom.MSIL.DARKITO.SM, Ransom_HiddenTear.R002C0DB621
---
➤ Содержание записки:
DEAR USER..
This is the developer of DarkWorld File Crypter tool, you have been running our tool in your system which caused your files to get encrypted.
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important files that were encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase the Decryption tool from me.
the decryption tool will not be able to decrypt your files if the encrypted files were encrypted after 72 hours , which means you need to contact us before 72hours from decryption so we can help you solve your problem.
Please note that you'll never restore your data without payment.
Price of private key and decrypt software is $300.
To Buy the decryption tool you must follow the following steps :
1 - Send the equivalent of 300$ in bitcoins
to this wallet : 1EdxGR5fxRjhWtxNSbyDHv4nVdx5BP54L2
—————————————————–
* What is bitcoin ? : https://www.investopedia.com/terms/b/bitcoin.asp
* How to buy Bitcoin ? : https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp
* Where to buy Bitcoin ? :
https://www.blockchain.com/
https://coinbase.com/
https://robinhood.com/
https://www.coinmama.com
—————————————————–
2 - Once your payment is done copy your personal ID and send it to me in this email : << darksimo@protonmail.com >>.
—————————————————–
3 - After i confirm the payment is received you will immediatly receive the decryption tool and the decryption key of your files , and also you will receive a full guide and a video explaining how to use the decryption tool to decrypt all your files .
—————————————————–
4 - in case of trust issues you can send one of your encrypted files to my email and i will decrypt it and send it back to you as a valid proof of the decryption tool.
Your personal ID : 16101***
Вариант от 16 марта 2021:
Расширение: .Encrypted
Результаты анализов: VT + IA
Варианты от 15-25 марта 2021:
Ранняя версия на основе HiddenTear, потом модифицированный вариант.
Вариант от 29 апреля 2021:
Расширение: .Legion
Файл: LegionLocker2.1.exe
Результаты анализов: VT + AR + AR
Вариант от 3 июля 2021:
Расширение: .rsjon
Записка: READ_ME_PLZ.txt
Email: darkjon@protonmail.com
BTC: 1AefQmfitXAuQDm1BSNpTN6mygpePd3MT6
В коде программы и на сайте используется турецкий язык.
Файл проекта: C:\Users\brknc\source\repos\rs-jon\rs-jon\obj\Debug\rs-jon.pdb
Файл дешифровщика: rs-jon-decrypter.exe
Результаты анализов: VT + AR Файл вымогателя: rs-jon.exe
Результаты анализов: VT + AR + IA ➤ Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y
Microsoft -> Ransom:MSIL/Ryzerlo.A
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
Вариант от 17 июня 2021:
Самоназвание: Borgla
Файл проекта: C:\Users\adolf\Desktop\Programacion\C#\Borgla\obj\Debug\Borgla.pdb
Файл: Borgla.exe
Результаты анализов: VT + TG + IA ➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Microsoft -> Ransom:MSIL/Ryzerlo.A
TrendMicro -> Ransom_RAMSIL.SM
Вариант от 17 июля 2021:
Расширение: .jew
Вариант от 25 июля 2021:
Расширение: .संवैधानिक
Записка: Message.txt
Email: ama53940400@gmail.com
Вариант от 4 ноября 2021:
Расширение: .bandana
Записка: README.txt
Вариант от 9 ноября 2021:
Самоназвание: Encrypt_Robot
Расширение: .payme
Файл: Encrypt_Robot.exe, local.exe
Результаты анализов: VT + AR ➤ Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Z
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
Вариант от 20 ноября 2021:
Самоназвания: Nopyfy-Ransomware, Delta
Расширение: .deltapaymentbitcoin@gmail.com
Записка: FILES ENCRYPTED.txt
Email: deltapaymentbitcoin@gmail.com
BTC: bc1q2n23xxx2u8hqsnvezl9rewh2t8myz4rqvmdzh2
Файл: Nopyfy-Ransomware.exe
Результаты анализов: VT + IA ➤ Обнаружения:
Trojan.Encoder.10598 -> HiddenTear
BitDefender -> Generic.Ransom.Hiddentear.A.8553174A
Malwarebytes -> Ransom.HiddenTear
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_CRYPTEAR.SM0
=== 2022 ===
Вариант от 27 апреля 2022:
Доп. название: Decryption#1222 Ransomware
Расширение: .n53yb34tbb2
Записка: HOW TO DEYCRYPT.txt
Результаты анализов: VT + AR + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message: myTweet
ID Ransomware (ID as HiddenTear)
Write-up, Topic of Support
*
Thanks:
Michael Gillespie, MalwareHunterTeam, GrujaRS, quietman7
S!Ri, Ravi, Karsten Hahn, xiaopao
Andrew Ivanov (author)
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
