Xorist 2020

Xorist 2020-2023 Ransomware

Сборник разных случаев за 2020-2023 годы

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов XOR и TEA, а затем требует выкуп в долларах, BTC или в другой валюте, чтобы вернуть файлы. Оригинальное название: Xorist, на файлах может быть написано что угодно. Распространяется разными группами вымогателей с февраля 2012 года. На одном из ранних образцов имеется штамп даты: 29 января 2012. Мы ничего не знаем о вымогателях и распространителях, и не собираем ничью личную информацию. Множество предыдущих вариантов можно увидеть в Списке по алфавиту или в конце каждой статьи про Xorist в "ИСТОРИЯ СЕМЕЙСТВА". 

Мы не ставим перед собой задачу собрать и проанализировать все варианты, указать подробные данные или помочь расшифровать файлы. В каждом расшифрованном варианте будут ссылки на форум или специалиста, который может помочь расшифровать файлы. 

Обнаружения (первоначальные):
DrWeb -> Trojan.Encoder.94, Trojan.Encoder.25389
BitDefender -> Trojan.Ransom.AIG
Avira (no cloud) -> TR/Ransom.Xorist.EJ
ESET-NOD32 -> Win32/Filecoder.Q, A Variant Of Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Ransom.Xorist
Microsoft -> Ransom:Win32/Sorikrypt.A
Rising -> Ransom.Sorikrypt!8.8822 (CLOUD)
Symantec -> Ransom.CryptoTorLocker
Tencent -> Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_XORIST.SMA
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Xorist >> Xorist 2012 > Xorist 2016-2019 > Xorist 2020

Изображение — логотип статьи

К зашифрованным файлам добавляются различные расширения, причем, некоторые из них комбинируются друг с другом:
.GiTeR
.ZyNoXiOn
.BlOCkED
.CrYo
.TeOnS
.ENCRYPTED
.hex911
.[dungeon]-0_0
.CroNi
.ZoNe
.{loly} _zip


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Я могу не добавлять их в список. 


Активность этого крипто-вымогателя началась в начале 2012 года и продолжается в течение 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Штамп даты создания: 29 января 2012 года. 
Ссылка на образец на VirusTotal >>

Записка с требованием выкупа обычно называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
*** см. в новых вариантах ниже ***

Иногда запиской с требованием выкупа может выступать изображение, заменяющее обои Рабочего стола. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. в разделе обновлений.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: см. в разделе обновлений.
BTC: см. в разделе обновлений.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist-Vandev Ransomware - февраль 2012
другие ранние варианты - 2012-2015
Xorist (2016-2019) Ransomware  - март 2016
Xorist-EnCiPhErEd Ransomware  - май 2016
Xorist-FakeRSA Ransomware  - февраль 2017
Xorist-Zixer2 Ransomware  - апрель 2017
Xorist-TraNs Ransomware  июнь 2017
Xorist-RuSVon Ransomware  - июль 2017
Xorist-Hello Ransomware  - август 2017
Xorist-CerBerSysLock Ransomware  - декабрь 2017
Xorist-Frozen Ransomware  - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware  - июль 2018
Xorist-Mcafee Ransomware  - январь 2019
Xorist-Mcrypt2019 Ransomware  - июль 2019

Xorist 2020 Ransomware  - весь 2020 год - > 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 февраля 2020: 
Файлы можно расшифровать! Обращайтесь на форум поддержки >>
Пост на форуме >>
Расширение: .GiTeR
Записка: HOW TO DECRYPT FILES.txt
Email: gitersupp@protonmail.com, giter@cock.li
BTC: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
Результаты анализов: VT + HA + IA + VMR + AR + TG
---

➤ Содержание записки:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
After that, contact me at this email adress: gitersupp@protonmail.com or giter@cock.li
With this subject: GITER-H457342020***
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Вариант от 22 марта 2020: 
Файлы можно расшифровать! Ссылка на дешифровщик >>
Сообщение >>
Пост на форуме >>
Расширение: .ZyNoXiOn.BlOCkED
Записка: HOW TO DECRYPT FILES.txt
Email: zynoxion@protonmail.com
BTC: 1F3SBmMNsQASLAt8xfD9JYDPhvb7B7d1CB
Ключи реестра:
HKEY_CLASSES_ROOT\.ZyNoXiOn
HKEY_CLASSES_ROOT\SIMENIVCOUVOZVO
HKEY_CLASSES_ROOT\SIMENIVCOUVOZVO\DefaultIcon
HKEY_CLASSES_ROOT\SIMENIVCOUVOZVO\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter
Результаты анализов: VT + HA + IA + VMR + AR + TG
---

➤ Содержание записки:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC address: 1F3SBmMNsQASLAt8xfD9JYDPhvb7B7d1CB
After that, contact me at this email address: zynoxion@protonmail.com
With this subject: ZYNOXION-G43829340920***
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges


Вариант от 7 мая 2020: 
Файлы можно расшифровать! Обращайтесь на форум >>
Сообщение >>
Пост на форуме >>
Расширение: .CrYo.TeOnS
Записка: HOW TO DECRYPT FILES.txt
Email: cryoteons@protonmail.com
BTC: 1Cc6m6b6mgks7e9cQBknNWQcJj69x2y3U1
Результаты анализов: VT + HA + IA + VMR + AR + TG

➤ Содержание записки:
Attention, all your files have been encrypted.
To access your files again, you must pay for the decryption keys.
The amount you have to pay is 0.15 BITCOIN
You can get bitcoin very easily on these sites:
www.localbitcoins.com
www.paxful.com
The decryption process:
Send 0.15 Bitcoin to this address:
1Cc6m6b6mgks7e9cQBknNWQcJj69x2y3U1
After submitting, contact me at this email address: cryoteons@protonmail.com
With this subject: CRYOTEONS015-2938129***
After completing all these steps, you will be emailed the keys and a tutorial to decrypt the files.
Here's another list of where to buy bitcoin:
https://bitcoin.org/en/exchanges

Вариант от 28 мая 2020: 
Файлы можно расшифровать! Обращайтесь на форум >>
Пост на форуме >>
Пост на форуме >>
Расширение: .ENCRYPTED
Записка: HOW TO DECRYPT FILES.txt
Email: mrnice@riseup.net
BTC: - 
Результаты анализов: VT + HA + IA + VMR + AR + TG

➤ Содержание записки:
All of your files have been encrypted.
There is no way to recover your files without purchasing your key.
You were flagged in our server and monitored for quite some time now.
We have recorded all sorts of data on you, including social contacts and financial data. Don't worry, your information is safe and secure, right now. We will not go through any of it or pass any of it on to our operatives as long as you pay the one time fee. The one time fee guarantees you get your files decrypted and all information we have collected on you deleted. It is highly advised you pay the one time fee of $50 or you may end up paying more. We do not want to damage your life. We hope you make the right decision. 
Contact by email: mrnice@riseup.net
We are expecting your email soon.


Вариант от 1 июня 2020: 
Файлы можно расшифровать! Ссылка на дешифровщик >>
Сообщение >>
Сообщение >>
Пост на форуме >>
Расширение: .hex911
Записка: HOW TO DECRYPT FILES.txt
Email: H911X@yahoo.com
Telegram : @HEX911 | https://t.me/HEX911
BTC: 1AxiJAhH3BnLg4ht6SfcH21BZzzoA5mXWX
Результаты анализов: VT + HA + IA + VMR + AR + TG

➤ Содержание записки:
Device ID: 1CIY512EI***
Don't Worry
Device files are currently encrypted which is impossible
You only get it now when you pay $ 1,400 in BTC. You have 4 days to get a discount
Communication ways: -
Email: H911X@yahoo.com
Account on Telegram : @HEX911 | https://t.me/HEX911
Be careful when contacting us on e-mail, check your junk mailbox
WALLET BTC: 1AxiJAhH3BnLg4ht6SfcH21BZzzoA5mXWX
*Note Files are removed within half an hour after the money transfer process and do not tamper with device hint files or settings
Because if it is tampered with, we will not be able to recover your files
Payment only via #Bitcoin cryptocurrency#
You have some attempts to enter the password incorrectly after which the device is locked permanently and all data is erased
* How to decrypt files:
1-Save device ID first message
2-Transfer money on encrypted wallet
3-Send the Device ID to an email
4-You will be sent the key and full steps after a quarter of an hour to half an hour maximum
All rights reserved: HEX911.


Вариант от 18 июня 2020: 
Файлы можно расшифровать! Ссылка на дешифровщик >>
Сообщение >>
Расширение: .[dungeon]-0_0
Записка: HOW TO DECRYPT FILES.txt
Email: 1413201760@qq.com 

➤ Содержание записки:
 #####Your files have been compressed!#####
 hello, if you received this message you need my help retrieving your information,
 please contact me email:  1413201760@qq.com
 count on me to help you in the best way, ok? 
 but I will only be available to help you in a countdown of 24:00 hours when opening this message.
 remembering that to help you I will charge a small fragment in bitcoin.
 bitcoin fragment nowadays and very easy to get, just have bank account.


Вариант от 18 июня 2020: 
Статус: Файлы можно расшифровать! Обращайтесь на форум >>
Сообщение >>
Пост на форуме >>
Расширение: .CroNi.ZoNe
Записка: HOW TO DECRYPT FILES.txt

Вариант от 25 июня 2020: 
Пост в Твиттере >>
Сообщение >>
Расширение: .{loly} _zip
Записка: HOW TO DECRYPT FILES.txt
Email: lolyta_restore@protonmail.ch
Результаты анализов: VT + HA + IA + VMR + AR + TG

➤ Содержание записки:
################# YOUR FILES HAVE BEEN ENCRYPTED ##################
{Good Morning! - I'm LOLYTA.}
First of all I would like to apologize for the inconvenience and for my actions.
we fight against ethnic sovereignty that resides within each tyrant of our country.
to continue with our cause we need to raise funds.
we don't want to harm anyone, we are in the banner of peace
we will resolve this situation quickly.
SEND AN EMAIL TO: lolyta_restore@protonmail.ch WITH ID - 84286813XVDVBVVXVVXVVXVXNBXMZBDHAJXNBZZV***
no need to format your computer
do not attempt to recover data with third party software - this will result in total loss of all files.
trust no one! only we have the key to recover your files.
we are not responsible for the negligence of your IT team.
to get your trust, send some JPG along with the ID. {loly} _zip
we respond with file in perfect condition and with instructions. 


Вариант от 26 июня 2020: 
Пост в Твиттере >>
Расширение: .YaKo.MoKo
Записка: HOW TO DECRYPT FILES.txt
Email: ***


Вариант от от 1 июля 2020:
Сообщение >>
Расширение: .freelocker
Записка: HOW TO DECRYPT FILES.txt
Email: freelocker@riseup.net
Результаты анализов: VT + HA + IA + VMR + AR + TG

➤ Содержание записки:
Contact freelocker@riseup.net for support with decryption.
The decryption fee is $50 (USD) 
Your files are safe and can be easily decrypted.
To prevent things like this happening in the future we advise you to put pressure on the
website you obtained this virus from. If for some reason you cannot pay the $50 fee, I hope these companies compensate you for your loss.

Вариант от 15 июля 2020:
Сообщение >>
Расширение: .YaKo
Записка: HOW TO DECRYPT FILES.txt
Email: yakomoko@protonmail.com

BTC: 1LTG4TiX9NyLSzyXQPFm6ANGRRAZH7D45R

Вариант от 31 июля 2020:
Сообщение >>
Расширение: .GlUtEzOn.VaNoLe
Записка: HOW TO DECRYPT FILES.txt

Вариант от 2 августа 2020:
Сообщение >>
Расширение: .ZaCaPa
Записка: HOW TO DECRYPT FILES.txt
Email: zacapa@cock.li
Результаты анализов: VT + VT 

Вариант от 15 августа 2020: 
Сообщение >>
Расширение: .MakaLi
Записка: HOW TO DECRYPT FILES.txt
Email: makalikozo@cock.li, makalikozo@protonmail.com
BTC: 15962xUrHBa43khYusFZcZWxuASEjNnyX5
Результаты анализов: VT 

Вариант от 18 августа 2020:
Сообщение >>
Расширение: .jigsaaw
Записка: HOW TO DECRYPT FILES.txt
Результаты анализов: VT + VMR

Вариант от 19 августа 2020:
Сообщение >>
Расширение: .wannacry
Записка: HOW TO DECRYPT FILES.txt
Результаты анализов: VT + VMR

Вариант от 8 сентября 2020:
Сообщение >>
Расширение: .hnx911
Email : hnx911@yahoo.com
Telegram user: @ hnx911
Записка: HOW TO DECRYPT FILES.txt

➤ Содержание записки:
Attention!
  Don't worry, you can return all your files! All your files like photos, databases, documents, etc.
  Important files are encrypted with the strongest encryption and a unique key, and your device is locked with a unique password.
  The only way to recover files is to purchase a unique decryption tool and a key for you.
  This program will decrypt all encrypted files and also decrypt the device password.
  What guarantee you?
  When you contact us, a password will be sent to lock your device, after which you can send one of your encrypted files from
  Computer and we decrypt it for free.
  You can grab a decoder for the video overview on your Telegram channel:
=====> https://t.me/s/hnx911 <=====
=====> Telegram user: @ hnx911 <====
=====> Email : hnx911@yahoo.com
  The price of the private key and decryption is $ 200
50% available if you call us the first 72 hours, this price is for you $ 100.


Вариант от 10 сентября 2020:
Сообщение >>
Расширение: .BD
Записка: HOW TO DECRYPT FILES.txt
Email: virusjahid4209@cyberper.net
BTC: 37t6hwuzJbq6PtEgaxyS3AWyLS99qMGrt8
Результаты анализов: VT + VMR + IA

Вариант от 16 сентября 2020:
Сообщение >>
Расширение: .YOURPCISHACK16024752552658
Записка: HOW TO DECRYPT FILES.txt
BTC: 3Ea3ECw6rspNGUpSm271TCxkkJNNm4iHVb
Discord: Hacker16#9844
Telegram: @Modhack16

➤ Содержание записки: 
ATTENTION!
Your PC Is Hack And All File Are encrypted Using Strongest Encryption
I Think if U Need Back Your Data So Pay On This Bitcoin Address :-3Ea3ECw6rspNGUpSm271TCxkkJNNm4iHVb
20$ bitcoin Pay And Then Contact Me On Discord Ya Telegram 
Discord :- Hacker16#9844
Telegram :- @Modhack16

Вариант от 17 сентября 2020: 

Сообщение >> 

Расширение: .TAKA

Записка: HOW TO DECRYPT FILES.txt

Email: viruszone4209@opentrash.com

BTC: 37t6hwuzJbq6PtEgaxyS3AWyLS99qMGrt8

Результаты анализов: VT  + VMR

Вариант от 29 сентября 2020:

Сообщение >>

Расширение: .mame vse

Результаты анализов: VT + VMR

Вариант от 26 сентября 2020: 

Сообщение >> 

Расширение: .ZaLtOn

Email: zalton@tuta.io

Результаты анализов: VT + IA

Вариант от 8 октября 2020: 

Сообщение >>

Расширение: .locked3dllkierff

Результаты анализов: VT + IA

Согласно анализу, по коду связан с тем, что известно как Vaca Ransomware, но вполне может быть более новой модификацией. 

Вариант от 30 октября 2020:

Сообщение >>

Расширение: .pethya zaplat zasifrovano.pethya zaplat zasifrovano.pethya zaplat zasifrovano

Записка: HOW TO DECRYPT FILES.txt

Файл: dddd.exe

Местонахождение: %TEMP%\javas2.exe

%TEMP%\asat2.exe

%TEMP%\javas.exe

Результаты анализов: VT + VMR + IA

Вариант от 29 ноября 2020: 

Расширение: .hacker crypt 2020.data

Сообщение >>

Записка: HOW TO DECRYPT FILES.txt

Email: mujkontakt@protonmail.com

BTC: 1QDoqyz76PMobSQ9G1tDcNMMnXwZDyggfN

Странно, что чешский текст содержит датскую букву "ø". Возможно замена произошла при копировании текста записки. 

Вариант от 4 декабря 2020:

Сообщение >>

Расширения: .zasifrovano zaplat

.zasifrovano zaplat 3000kc!!!

Статус: Файлы можно расшифровать!

Вариант от 5 декабря 2020:

Сообщение >>

Расширение: .Hacker zasifroval zaplat.cryp

Email: mujkontakt@protonmail.com

Файлы: satanfin.exe, satan.exe, satan2.exe

Результаты анализов: VT + IA + VMR

Вариант от 10 декабря 2020: 

Сообщение >>

Расширение: .NIGG3R 

Email: niggapoopoo123@protonmail.com

Этот адрес также используется в Clay Ransomware (та же дата). 

Результаты анализов: VT 

Вариант от 16 декабря 2020: 

Сообщение >>

Расширение: .greedyfuckers

Записка: HOW TO DECRYPT FILES.txt и текст в диалоговом окне. 

Замена обоев Рабочего стола файлом Wallpaper.jpg. 

Email: imbun6@gmail.com

 

Результаты анализов: VT + HA + TG

Размещение файлов:

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt

C:\Users\Admin\Desktop\HOW TO DECRYPT FILES.txt

C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt

C:\Users\Admin\AppData\Local\Temp\9Jco18128GARf90.exe

Изменения в реестре: 

\REGISTRY\USER\S-1-5-21-3825035466-2522850611-591511364-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\egfhjkmobcegikmo.bmp"

\REGISTRY\USER\S-1-5-21-3825035466-2522850611-591511364-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Pictures\\Wallpaper.jpg"

 

Вариант от 29 декабря 2020:

Сообщение >>

Расширение: .lockerxxs

Записка: HOW TO DECRYPT FILES.txt

Email: frankhans@tuta.io

BTC: 1Mc9xe3mjaMLz99CUjao88s65X3ydVEZbX

Файл вложения: Company turnover.doc

Malware URL: xxxx://lancosi928.tech/one.exe

Результаты анализов: VT + IA + VMR + AR

➤ Обнаружения: 

ALYac -> Trojan.Ransom.AIG

Avira (no cloud) -> TR/Ransom.Xorist.EJ

BitDefender -> Trojan.Ransom.AIG

DrWeb -> Trojan.Encoder.25389

ESET-NOD32 -> A Variant Of Win32/Filecoder.Q

Microsoft -> Ransom:Win32/Sorikrypt

Rising -> Ransom.Sorikrypt!8.8822 (TFE:5*

Symantec -> Ransom.CryptoTorLocker

Tencent -> Trojan.Win32.CryptoTorLocker2015.a

TrendMicro -> Ransom_XORIST.SMA

=== 2021 ===

Варианты от 4-5 января 2021: 

Сообщение >>

Сообщение >>

BTC: 1Mc9xe3mjaMLz99CUjao88s65X3ydVEZbX

Email: frankhans@tuta.io

Malware-URL: xxxx://lancosi928.tech/one.exe

Результаты анализов: VT + AR / VT + AR

 

 

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .LyDark

Записка: HOW TO DECRYPT FILES.txt

Telegram: @LyDarkr

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .ZaToN

Записка: HOW TO DECRYPT FILES.txt

Email: zaton@tuta.io

BTC: 1G91imBejqS5PDn9jAyPiV5uMsvaXuzNaj

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .EnCryp13d

Записка: HOW TO DECRYPT FILES.txt

Email: ssget@protonmail.com

BTC: 1AnpWuA8myCioniyBcZ6nghsMWXboFE7Tf

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .CryptPethya

Записка: HOW TO DECRYPT FILES.txt

Email: - 

BTC: 1752ysz2nvdYpCZuxueyDnwozJyJYQMWwG

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .Zasifrovano.zaplat.za klic 2021

Записка: HOW TO DECRYPT FILES.txt

Email: -

BTC: 1752ysz2nvdYpCZuxueyDnwozJyJYQMWwG

Вариант от 12 марта 2021: 

Пост на форуме >>

Записка: HOW TO DECRYPT FILES.txt

Email: zinton@tuta.io

BTC: 1N6raut5QL6AnUZ9nHA59PUtPmJRaLwrS

Вариант от 16 марта 2021:

Сообщение >>

Расширение: .sandboxtest

Вариант от 31 марта 2021:

Сообщение >>

Расширение: .emilisub

Email: bufalo@boximail.com

BTC: 3QgJDoVEaksAs9kFz1vcueG8DKF4hPrARW

Записка: HOW TO DECRYPT FILES.txt

Результаты анализов: VT

Вариант от 8 апреля 2021:

Сообщение >>

Расширение: .greed

Записка: HOW TO DECRYPT FILES.txt

Результаты анализов: VT

Вариант от 8 апреля 2021:

Сообщение >>

Расширение: .MailRU

Записка: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Результаты анализов: VT

Вариант от 17-19 апреля 2021:

Сообщение >>

Расширение: .btCry_zip

Записка: HOW TO DECRYPT FILES.txt

Email: btcontact@protonmail.com

Результаты анализов: VT + VT

*** пропущенные варианты ***

Вариант от 5 августа 2021: 

Сообщение >>

Расширение: .divinity

Записка: HOW TO DECRYPT FILES.txt

Файл: divinity.exe

Результаты анализов: VT

=== 2022 ===

Вариант от 24 апреля 2022: 

Сообщение >>

Расширение: .huis_bn

Записка: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Результаты анализов: VT 

Вариант от 27 апреля 2022: 

Сообщение >>

Расширение: .BLOCK

Записка: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Email: lovestoryforyou@protonmail.com, gizmo12@tutanota.com

Вариант от 4 мая 2022: 

Сообщение >>

Расширение: .Mal

Записка: HOW TO DECRYPT FILES.txt

Результаты анализов: VT 

Обнаружения: 

DrWeb -> Trojan.Encoder.94

ESET-NOD32 -> A Variant Of Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win32.Xorist.lk

Вариант от 8 мая 2022: 

Сообщение >>

Расширение: .WanaCray2023+

Записка: HOW TO DECRYPT FILES.txt; 

Результаты анализов: VT 

Вариант от 13 апреля 2022: 

Сообщение >>

Расширение: .Pay

Записка: HOW TO DECRYPT FILES.txt

Результаты анализов: VT

Вариант от 16 апреля 2022: 

Сообщение >>

Доп. название: Crypt2020 Ransomware

Расширение: .hacker crypt2020(dot)data

Записка: HOW TO DECRYPT FILES.txt (на чешском языке)

Результаты анализов: VT

***** пропущенные варианты *****

=== 2023 ===

Вариант 14 февраля или раньше:

Самоназвание: Mortal Kombat Ransomware

Исследование об этом >>

Расширение: ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware

Записка: HOW TO DECRYPT FILES.txt

Email: hack3dlikeapro@proton.me

Вероятно новый вариант Xorist-Frozen Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, thyrex
 Andrew Ivanov (author)
 Emmanuel_ADC-Soft, quietman7, Kangxiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RagnarLocker

RagnarLocker Ransomware

RagnarLocker 2.0 Ransomware

RagnarLocker Doxware

RagnarLocker DDoS-attack-Ransomware

RagnarLocker NextGen Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные крупных компаний и бизнес-пользователей с помощью AES + RSA-2048, а затем требует выкуп в ~20-60 BTC, чтобы вернуть файлы. Оригинальное название: RagnarLocker или Ragnar_Locker. На файле написано: VSERV.EXE или что-то еще.

Вымогатели, распространяющие RagnarLocker, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). Группа Ragnar Locker предпочитает сотрудничать с внешними пен-тестерами для взлома сетей по всему миру. Кроме того, используют DDoS-атаки, чтобы заставить жертву связаться с ними и договориться о выкупе. 

Известно, что на начальном этапе распространения этого Ransomware и проведения атак группа злоумышленников базировалась в Украине и оттуда уже растеклась по странам Европы и Северной Америки. Члены банды действуют из Чехии, Швеции, Германии, Франции, Нидерландов. Сервера прикрытия расположены в Нидерландах, Германии и Швеции. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31062, Trojan.MulDrop11.37871, Trojan.Encoder.31231, Trojan.Encoder.31566, Trojan.Encoder.32719, Trojan.Encoder.32986
BitDefender -> Gen:Heur.Ransom.Imps.1, Generic.Ransom.Ragnar.7430B5C0
Avira (no cloud) -> TR/AD.RansomHeur.gkqib
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAH, A Variant Of Win32/Filecoder.RagnarLocker.A
Malwarebytes -> Ransom.Ragnar
McAfee -> Ransom-Ragnar, Ransomware-GWY!3CA359F5085B
Rising -> Ransom.Agent!8.6B7 (CLOUD)
TrendMicro -> Ransom.Win32.RAGNAR.THBAABOA, Ransom_Ragnar.R002C0DCA20, Ransom_Ragnar.R002C0DDS20
---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.ragnar_XXXXXXXX
.ragnar_<ID{8}>

Под ID здесь находится хэш NetBIOS-имени компьютера. 

Примеры таких расширений: 
.ragnar_44027CDE
.ragnar_46d54535


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2020 г. Дата создания: 31 января 2020. Возможно, еще был более ранний вариант из декабря 2019 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: 
RGNR_XXXXXXXX.txt
RGNR_<ID>.txt

Пример записок о выкупе: 
RGNR_44027CDE.txt
RGNR_46d54535.txt

Содержание записки о выкупе:
                                              Hello COMPANY !
************************************************************************************
 If you reading this message, then your network was PENETRATED and all of your files and data has been ENCRYPTED
                                              by RAGNAR_LOCKER !
************************************************************************************
*********What happens with your system ?************
Your network was penetrated, all your files and backups was locked! So from now there is NO ONE CAN HELP YOU to get your files back, EXCEPT US.
You can google it, there is no CHANCES to decrypt data without our SECRET KEY.
But don't worry ! Your files are NOT DAMAGED or LOST, they are just MODIFIED. You can get it BACK as soon as you PAY.
We are looking only for MONEY, so there is no interest for us to steel or delete your information, it's just a BUSINESS $-)
HOWEVER you can damage your DATA by yourself if you try to DECRYPT by any other software, without OUR SPECIFIC ENCRYPTION KEY !!!
Also, all of your sensitive and private information were gathered and if you decide NOT to pay,
we will upload it for public view !
****
***********How to get back your files ?******
To decrypt all your files and data you have to pay for the encryption KEY :
BTC wallet for payment: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU
Amount to pay (in Bitcoin): 60
****
***********How much time you have to pay?**********
* You should get in contact with us within 2 days after you noticed the encryption to get a better price.
* The price would be increased by 100% (double price) after 14 Days if there is no contact made.
* The key would be completely erased in 21 day if there is no contact made or no deal made. 
Some sensetive information stolen from the file servers would be uploaded in public or to re-seller.
****
***********What if files can't be restored ?******
To prove that we really can decrypt your data, we will decrypt one of your locked files ! 
Just send it to us and you will get it back FOR FREE.
The price for the decryptor is based on the network size, number of employees, annual revenue. 
Please feel free to contact us for amount of BTC that should be paid.
****
! IF you don't know how to get bitcoins, we will give you advise how to exchange the money.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! HERE IS THE SIMPLE MANUAL HOW TO GET CONTCAT WITH US !
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1) Go to the official website of TOX messenger ( https://tox.chat/download.html )
2) Download and install qTOX on your PC, choose the platform ( Windows, OS X, Linux, etc. )
3) Open messenger, click "New Profile" and create profile.
4) Click "Add friends" button and search our contact 7D509C5BB14B1B8CB0A3338EEA9707AD31075868CB9515B17C4C0EC6A0CCCA750CA81606900D
5) For identification, send to our support data from ---RAGNAR SECRET---
IMPORTANT ! IF for some reasons you CAN'T CONTACT us in qTOX, here is our reserve mailbox ( hello_company@protonmail.com ) send a message with a data from ---RAGNAR SECRET---
WARNING!
-Do not try to decrypt files with any third-party software (it will be damaged permanently)
-Do not reinstall your OS, this can lead to complete data loss and files cannot be decrypted. NEVER!
-Your SECRET KEY for decryption is on our server, but it will not be stored forever. DO NOT WASTE TIME ! 
***********************************************************************************
---RAGNAR SECRET---
MmE2RjY2N2YwNUZlYm*** [всего 88 знаков]
---RAGNAR SECRET---
***********************************************************************************

Перевод записки на русский язык:
                                              Привет КОМПАНИЯ!
************************************************** **********************************
 Если вы читаете это сообщение, значит, ваша сеть была ВЗЛОМАНА, а все ваши файлы и данные зашифрованы.
                                                 RAGNAR_LOCKER!
************************************************** **********************************
********* Что происходит с вашей системой? ************
Ваша сеть была взломана, все ваши файлы и резервные копии заблокированы! Таким образом, отныне НИКТО НЕ ПОМОЖЕТ ВАМ вернуть ваши файлы, КРОМЕ НАС.
Вы можете гуглить, нет никаких ШАНСОВ для расшифровки данных без нашего СЕКРЕТНОГО КЛЮЧА.
Но не волнуйся! Ваши файлы не повреждены и не потеряны, они просто изменены. Вы можете получить их обратно, как только заплатите.
Нам нужны только ДЕНЬГИ, поэтому нас не интересует, как украсть или удалить вашу информацию, это просто БИЗНЕС $ -)
ОДНАКО вы можете повредить свои ДАННЫЕ сами, если попытаетесь расшифровать их с помощью любой другой программы, без НАШЕГО СПЕЦИАЛЬНОГО КЛЮЧА ШИФРОВАНИЯ !!!
Кроме того, вся ваша ценная и конфиденциальная информация была собрана, и если вы НЕ заплатите,
мы загрузим его для всеобщего обозрения!
****
*********** Как вернуть ваши файлы? ******
Чтобы расшифровать все ваши файлы и данные, вы должны заплатить за ключ шифрования:
BTC кошелек для оплаты: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU
Сумма к оплате (в биткойнах): 60
****
*********** За какое время вы должны заплатить? **********
* Вам нужно связаться с нами в течение 2 дней после того, как вы заметили шифрование, чтобы получить лучшую цену.
* Цена будет увеличена на 100% (двойная цена) через 14 дней, если нет контакта.
* Ключ будет полностью удален через 21 день, если не будет установлен контакт или не будет заключена сделка.
Некоторая содержательная информация, украденная с файловых серверов, будет загружена в открытый доступ или перепродана.
****
*********** Что, если файлы не могут быть восстановлены? ******
Чтобы доказать, что мы правда можем расшифровать ваши данные, мы расшифруем один из ваших заблокированных файлов!
Просто отправьте его нам, и вы получите его БЕСПЛАТНО.
Цена на расшифровщик зависит от размера сети, количества сотрудников, годового дохода.
Пожалуйста, не стесняйтесь обращаться к нам за сумму BTC, которая должна быть оплачена.
****
! Если вы не знаете, как получить биткойны, мы дадим вам совет, как обменять деньги.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!
! ЗДЕСЬ ПРОСТОЕ РУКОВОДСТВО КАК ПОЛУЧИТЬ КОНТАКТ С НАМИ!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!
1) Зайдите на официальный сайт мессенджера TOX (https://tox.chat/download.html)
2) Загрузите и установите qTOX на свой ПК, выберите платформу (Windows, OS X, Linux и т. Д.)
3) Откройте мессенджер, нажмите «Новый профиль» и создайте профиль.
4) Нажмите кнопку «Добавить друзей» и найдите наш контакт 7D509C5BB14B1B8CB0A3338EEA9707AD31075868CB9515B17C4C0EC6A0CCCA750CA81606900D
5) Для идентификации отправьте в нашу службу поддержки данные от --- RAGNAR SECRET ---
ВАЖНО ! Если по каким-то причинам вы не можете связаться с нами в qTOX, вот наш резервный почтовый ящик ( hello_company@protonmail.com ) пришлите сообщение с данными из --- RAGNAR SECRET ---
ПРЕДУПРЕЖДЕНИЕ!
-Не пытайтесь расшифровать файлы любой сторонней программой (оно повредит данные)
-Не переустанавливайте свою ОС, это может привести к полной потере данных, и файлы не будут расшифрованы. НИКОГДА!
-Ваш СЕКРЕТНЫЙ КЛЮЧ для расшифровки находится на нашем сервере, но он не будет храниться вечно. НЕ ТРАТЬ ВРЕМЯ !

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Перед шифрованием проверяет расположение компьютера и завершает работу, если обнаруживается его принадлежность к следующим странам СНГ: Россия, Азербайджан, Армения, Беларусь, Грузия, Казахстан, Киргизстан, Молдавия, Таджикистан, Туркмения, Узбекистан, Украина.

Для этого RagnarLocker использует функцию "GetLocaleInfoW", чтобы получить язык системы пользователя (LOCALE_SYSTEM_DEFAULT) в виде строки. Затем будет проверен системный язык с помощью языков из списка исключений, а в случае совпадения вредонос прекратит работу ("TerminateProcess") с кодом ошибки 0x29A. 

➤ Удаляет теневые копии файлов командами:
WMIC.exe shadowcopy delete (PID: 3976) 
 vssadmin.exe vssadmin delete shadows /all /quiet

➤ Перед шифрованием завершает работу следующих служб, среди которых есть программы для удаленного управления: 
vss
sql
memtas
mepocs
sophos
veeam
backup
pulseway
logme
logmein
connectwise
splashtop
kaseya

➤ Процесс шифрования: 
Для каждого файла будет создан поток, который зашифрует его. После создания всех потоков RagnarLocker будет ждать бесконечное количество времени, благодаря функции "WaitForMultipleObjects". В процессе шифрования в потоках RagnarLocker проверит, имеет ли файл метку "_RAGNAR_" в конце с функцией "SetFilePointerEx", прочитав 9 байт и проверив, являются ли они этой строкой. Если файл имеет эту отметку, то он будет проигнорирован процессом шифрования.
В других случаях RagnarLocker зашифрует файл и в конце записывает зашифрованный блок ключа, используемый в блоке из 256 байтов, а одноразовый номер используется в другом блоке из 256 байтов и, наконец, добавит метку "_RAGNAR_ ", вместе с одним байтом как NULL для окончания строки (что составляет 9 байтов). Ключ и одноразовый номер, используемые в алгоритме Salsa20, шифруются открытым ключом RSA-2048, встроенным в шифровальщик. Это гарантирует только разработчикам RagnarLocker, имеющим закрытый ключ RSA, принадлежащий открытому ключу, используемому для дешифрования ключа и одноразового номера, приоритет в расшифровке файлов. 
Перед записью этой информации RagnarLocker будет использовать функцию "LockFile", а когда процесс записи функции будет завершен, то будет использована функция "UnlockFile" для освобождения уже зашифрованного файла. Это сделано для предотвращения изменения или удаления файла в процессе шифрования.

После шифрования или, если файл уже зашифрован, RagnarLocker изменит расширение на новое, такое как ".ragnar_45EF5632". 
Подробнее в статье McAfee.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Шифровальщик RagnarLocker старается не повредить работе операционной системе и принимает ряд мер, чтобы жертва могла иметь доступ к компьютеру, получить уведомление и заплатить выкуп. Для этого он делает следующее... 
￫ Пропускает следующие типы файлов:
.sys, .dll, .lnk, .msi, .drv, .exe

￫ Пропускает файлы и директории, включающие следующие названия:
Windows
Windows.old
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
bootmgr
bootmgr.efi
bootmgfw.efi
iconcache.db
ntldr
thumbs.db
RGNR_
.ragnar_
kernel32.dll
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
ntuser.dat
ntuser.dat.log
ntuser.ini

➤ В конец каждого зашифрованного файла добавляется маркер:
_RAGNAR_

Файлы, связанные с этим Ransomware:
VSERV.EXE
RGNR_44027CDE.txt - пример записки о выкупе
RGNR_46d54535.txt - пример записки о выкупе
malware.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hello_company@protonmail.com
Слово "company" заменяет то, что есть в оригинальной записке. 
BTC: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU
Tor-URL: hxxx://p6o7m73ujalhgkiv.onion/***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT> VT> VT> VT> VT>
🐞 Intezer analysis >> + IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средний.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2020:
Пост в Твиттере >>
Записка: RGNR_EA01A3BE.txt
Файл: Sofreg.exe
Результаты анализов: VT + VMR + IA + HA

Обновление от 10 марта 2020:
Примеры расширений: .ragnar_B1298E8D,  .ragnar_44027CDE
Примеры записок: RGNR_B1298E8D.txt, RGNR_44027CDE.txt
Файл: VSD.EXE
Результаты анализов: VT + HA + IA + AR

Обновление от 5 мая 2020:
Записка: RGNR_44027CDE.txt
Tor-URL: hxxx://p6o7m73ujalhgkiv.onion/?p=***
hxxx://mykgoj7uvqtgl367.onion/client/***

Результаты анализов: VT + IA + AR


Обновление от 22 мая 2020:
Статья на сайте BleepingComputer >>
Вымогатели, распространяющеи RagnarLocker, теперь внедряют виртуальные машины VirtualBox Windows XP для запуска программ-вымогателей и шифрования файлов, чтобы они не обнаруживались антивирусным ПО, работающим на хосте.

Эта атака начинается с создания папки инструментов, которая включает VirtualBox, виртуальный мини-диск Windows XP с именем micro.vdi и различные исполняемые файлы и сценарии для подготовки системы.
VirtualBox имеет функцию, которая позволяет операционной системе хоста обмениваться папками и дисками как сетевым ресурсом внутри виртуальной машины. Эта функция позволяет виртуальной машине подключать общий путь как сетевой диск с виртуальной машины \\VBOXSVR и получать к ней полный доступ.

Используя пакетный файл install.bat, операторы-вымогатели сканируют локальные диски и подключенные сетевые диски на хосте и создают файл конфигурации, который автоматически разделяет их с виртуальной машиной.

По завершении сценарий создает файл sf.txt, содержащий параметры конфигурации VirtualBox для автоматического совместного использования всех дисков на компьютере с виртуальной машиной.

Затем злоумышленники запускают виртуальную машину Windows XP с созданным файлом конфигурации, используя директивы SharedFolder, созданные их пакетным файлом.
При запуске все эти общие диски теперь будут доступны из виртуальной машины, а исполняемый файл RagnarLocker Ransomware будет автоматически находиться в корне диска" C".

Также включен файл vrun.bat, который находится в папке «Автозагрузка», поэтому он запускается сразу после запуска виртуальной машины.
Этот файл vrun.bat, показанный ниже, будет монтировать каждый общий диск, шифровать его и затем переходить к следующему диску, совместно используемому виртуальной машиной.

Поскольку антивирусное ПО, работающее на хосте ПК жертвы, не обнаружит исполняемый файл-вымогатель или активность на виртуальной машине, оно будет успешно продолжать работу, не обнаружив, что файлы жертвы уже шифруются.
Когда шифрование будет сделано, пострадавшие найдут на своем компьютере записку с требованием выкупа, объясняющую, как была взломана их компания, и их файлы были зашифрованы.

Использование виртуальной машины для шифрования файлов устройства без обнаружения является инновационным подходом.
Поскольку VirtualBox и виртуальная машина Windows XP не считаются вредоносными, большинство программ обеспечения безопасности не будут обеспокоены тем, что они спокойно изменяют все данные на компьютере.

Эта атака показывает, как ПО для обеспечения безопасности с поведенческим мониторингом становится все более важным для предотвращения распространения вирусов-вымогателей. Эта атака может быть обнаружена только при обнаружении необычной массовой записи в файл.

***

➽ Если бы пострадавшие использовала функцию защиты от программ-шантажистов, реализованную в Windows 10, их ПК были бы защищены от подобной атаки, поскольку эта защита обнаружила бы записи в защищенных папках.

 

 

Здесь показано, как включить эту защиту в Windows 10.


Добавление 5 июня 2020:
Пост в Твиттере >>
Официальный Twitter-аккаунт: 
hxxxs://twitter.com/Ragnarlocker
Официальный логотип: 

 

Официальный сайт публикации утечек: 
RAGNAR LEAKS NEWS
Tor-URL: hxxx://p6o7m73ujalhgkiv.onion/


Обновление от 22-30 июля 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширения (примеры): 
.ragn@r_B8CF767A
.ragn@r_44027CDE
Записки (прмиеры): 
!$R4GN4R_B8CF767A$!.txt
!$R4GN4R_44027CDE$!.txt
Результаты анализов: VT + AR + IA + VMR + JSB

 

Добавление 28 октября 2020:

Пост в Твиттере >>

Расширение (шаблон):  .__r4gN4r__XXXXXXXX

Расширение (пример): .__r4gN4r__B8CF767A

Записка: !!!_READ_ME_XXXXXXXX_!!!.txt

Результаты анализов: VT + HA + VMR 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.32719

ALYac -> Trojan.Ransom.RagnarLocker

Avira (no cloud) -> TR/Lolopak.rwsiq

BitDefender -> Trojan.GenericKD.34972578

ESET-NOD32 -> A Variant Of Generik.EIMJVBL

Kaspersky -> HEUR:Trojan.Win32.Lolopak.gen

Malwarebytes -> Ransom.Ragnarok

Rising -> Downloader.Agent!8.B23 (TFE:1:Vb8pB6mgBlQ)

Symantec -> Downloader

Tencent -> Win32.Trojan.Lolopak.Ehrt

TrendMicro -> Trojan.Win32.WACATAC.USMANJT20

Обновление от 2 ноября 2020:

Жертва атаки: Capcom 

Статья об этой атаке >>

Обновление от 6 ноября 2020:

Пост в Твиттере >>

RagnarLocker о себе и своем проекте. 

 

"Our main goal is to create cool project, that can show it's power in all it's glory and of course make profit."

"Companies under attack of Ragnar_Locker can count it as a bug hunting"

---

Перевод на русский язык:

"Наша главная цель - сделать крутой проект, чтобы показать всю свою мощь и принести прибыль".

"Затронутые компании атаку Ragnar_Locker могут считать поиском ошибок"

Сообщение от 11 ноября 2020 >>

Анализы: VT + IA

=== 2021 ===

Вариант от 21 июня 2021:

Сообщение >>

Результаты анализов: VT

=== 2023 ===

В ходе нескольких совместных операций Европола и полиции стран Европы и Северной Америки арестованы некоторые участники группы Ragnar Locker и отключены сервера в Европе. 

Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RagnarLocker, RagnarLocker 2.0, RagnarLocker 2.0+)
 Write-up, Topic of Support
 * 

Added later: 
Write-up by BleepingComputer (on February 10, 2020)
Write-up by McAfee (on July 9, 2020)

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 Vitali Kremez, Lawrence Abrams, MalwareHunterTeam
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.