Pojie

Pojie Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.32063, Trojan.Encoder.32272
BitDefender -> Trojan.GenericKD.43426709, Trojan.GenericKD.34275610
Avira (no cloud) -> TR/FileCoder.zgxoo
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAW, A Variant Of Win32/Packed.FlyStudio.AA Potentially Unwanted
Malwarebytes -> Ransom.Pojie, Adware.DownloadAssistant
McAfee -> GenericRXAL-AO!ABEC21742933
Microsoft -> Ransom:Win32/FileCoder.CH!MTB
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Encoder.Wrgt
TrendMicro -> Ransom.Win32.POJIE.A, Ransom_Encoder.R002C0WH520
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Barack Obama's EBBV и другие > ChinaJm >> Pojie

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .52pojie

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 52pojie-DECRYPT----<time_stamp>.txt

Пример записки: 52pojie-DECRYPT----1593604408163.txt

Содержание записки о выкупе:
你的资料已被加密，请勿关机以免丢失文件。
请发送邮件到：52pojie_mail@protonmail.com
恢复你的资料。
你的机器码为: AAAAAAAAAAAAGkHZI0M4qmGva2vGUmV7iNh5PoPlgSgpHDod81J0yCqySishVbbcGJQRO43GAXpmtUWnh71TcW4NVCCov+c9cg2YLklH+dDFRGL8HKPmFL9tDqPptFIcpTr+mcUtTXzPbSVZ+3wNVLRvVqBXjsiKYgyAbKiByXuLQeJpHKC2fuo=
注意：请勿关机和修改文件，以免影响恢复文件。

Перевод записки на русский язык:
Ваши данные зашифрованы, не закрывайте, чтобы не потерять файлы.
Отправьте email по адресу: 52pojie_mail@protonmail.com
чтобы вернуть ваши данные.
Код вашей машины:
AAAAAAAAAAAAGkHZI0M4qmGva2vGUmV7iNh5PoPlgSgpHDod81J0yCqySishVbbcGJQRO43GAXpmtUWnh71TcW4NVCCov+c9cg2YLklH+dDFRGL8HKPmFL9tDqPptFIcpTr+mcUtTXzPbSVZ+3wNVLRvVqBXjsiKYgyAbKiByXuLQeJpHKC2fuo=
Примечание. Не закрывайте и не изменяйте файл, чтобы не повлиять на восстановление файла.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным сервиса IntezerAnalyze содержит код майнера криптовалюты CoinMiner, значит шифровальщик может быть прикрытием для установки на компьютер майнера.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
52pojie-DECRYPT----1593604408163.txt - название файла с требованием выкупа
Picture Synthesis V1.0.1.1 Build 20170420.exe - распространяемый вредоносный файл
<random>.exe - случайное название вредоносного файла
1.jpg 
csrsse.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 52pojie_mail@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2 августа 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .itunes
Записка: itunes-DECRYPT----1596328035560.txt

Оригинальная записка на китайском языке

Перевод на русский язык (Google в браузере)

Перевод на английский язык (Google в браузере)

Email: itunes_decrypt@protonmail.com
Файлы: CQA.exe, itunes.exe
Путь: C:\Users\User\AppData\Local\Temp\[Dev] ?aQ Air [OyE?°?]\?aQ Air\CQA.ex
Результаты анализов: VT + IA + IA + AR + AR + AR + TG + TG
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32272
BitDefender -> Trojan.GenericKD.34275610
ESET-NOD32 -> A Variant Of Win32/Packed.FlyStudio.AA Potentially Unwanted
Malwarebytes -> Adware.DownloadAssistant
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Encoder.Wrgt
TrendMicro -> Ransom_Encoder.R002C0WH520

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Вы можете 
Для зашифрованных файлов есть декриптер
Скачать 360 Decrypter для дешифровки >> 
Или напишите xiaopao в Твиттере по этой ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Pojie)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, JAMESWT, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Decr1pt, OldGremlin

Decr1pt Ransomware

Aliases: TinyCryptor, Anti-Russian, CorpVPM

OldGremlin Hacking Team

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует отправить файл записки на email вымогателей, чтобы узнать как заплатить выкуп в $50000 и вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: OldGremlin Hacking Team, вероятно из Украины. 
---
Обнаружения:
DrWeb -> JS.Siggen5.38065, Trojan.DownLoader33.59928
ALYac -> Trojan.Downloader.LnK.Gen
BitDefender -> Trojan.GenericKD.43429205, Trojan.GenericKD.34114734
ESET-NOD32 -> LNK/TrojanDropper.Agent.BM, LNK/TrojanDropper.Agent.BM
Kaspersky -> HEUR:Trojan.Script.Generic
McAfee -> LNK/Downloader.bm
Symantec -> Trojan.Gen.NPE
Tencent -> Win32.Trojan.Agent.Dvfx, Win32.Trojan.Agent.Pjdm
TrendMicro -> TROJ_FRS.0NA103G220, HEUR_LNKEXEC.A
---

© Генеалогия: ??? >> Decr1pt (CorpVPM)

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется по шаблону: README_<random12>.txt

Примеры записок: 
README_ma3byib38w8s.txt
README_rwi05g2osjlx.txt

Содержание записки о выкупе:
Здравствуйте.
[!] Ваши файлы были зашифрованы
Для восстановления информации отправьте этот файл [README-ma3byib38w8s.txt] на почту:
decr1pt@protonmail.com
[!] Важно 
 1. В случае отсутствия сообщений от вас в течение 5 дней: 
- ключи восстановления будут удалены
- все ваши файлы будут выложены в публичный доступ
 2. Не пытайтесь восстановить файлы самостоятельно. Это приведет к безвозвратной потере информации.
 3. Вы можете найти файл [README-ma3byib38w8s.txt] на рабочем столе, в папках %TEMP% или %APPDATA%.

Перевод записки на русский язык:
*** уже сделан ***

Технические детали

Распространяется с помощью вредоносных документов в архиве (.docx, .lnk, .zip), устанавливает троян-бэкдор TinyNode, выполняющий функцию первичного загрузчика, который, используя технологии JS и PowerShell, выполняет известную атаку повышения прав, позволяет скачивать и запускать другие вредоносные программы. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Пока пользователь ПК просматривает загруженный документ Word, шифровальщик шифрует файлы и удаляет теневые копии файлов. Затем предлагает подключиться к какой-то CorpVPN. 

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тх, что находятся в списках исключений. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключаемые директории: 
windows, program files, programdata, appdata, system volume information, .bin, msocache, boot, intel, perflogs, mozilla, google, yandex, .~bt, .~ws

Исключаемые файловые расширения: 
 .386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .ini, .key, .ldf, .lnk, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

Файлы, связанные с этим Ransomware:
README_<random12>.txt - шаблон названия файла с требованием выкупа
README_ma3byib38w8s.txt - пример файла с требованием выкупа
README_rwi05g2osjlx.txt - пример файла с требованием выкупа
DllHost.exe - исполняемый вредоносный файл
fumng6b7.ini
ftzaxvjd.ini
uch-orxm.0.cs
uch-orxm.cmdline
uch-orxm.0.dll
uch-orxm.0.out
uch-orxm.0.pdb
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\N-388-30.06.2020.docx.lnk
C:\Users\User\AppData\Roaming\<random>.ini
C:\Windows\system32\DllHost.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
C&C: 45.61.138.170
URL: old-mud-23cb.tkbizulvc.workers.dev
URL: curly-sound-d93e.ygrhxogxiogc.workers.dev
Скриншоты, демонстрирующие кому на самом деле принадлежит адрес 45.61.138.170, кто прикрывает источник и почему атака направлена на русскоязычных пользователей и компании.  

 

  

  

Email: decr1pt@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 августа 2020: 

Сообщение на форуме >>

Записка: README_<random12>.txt

Email: decr1pt@protonmail.com

Обновление от 23 сентября 2020 

Статья от Group-IB (English version)

Киберкриминальная группа OldGremlin, состоящая из русскоязычных хакеров, используя собственный шифровальщик TinyCryptor (он же Decr1pt), а также бэкдор TinyNode и троян TinyPosh, атакует исключительно российские компании — банки и финансовые компании, промышленные предприятия, медицинские организации, разработчиков ПО. Начиная с весны 2020 года OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем, отправленных якобы от имени микрофинансовых организаций, российского металлургического холдинга, белорусского завода "МТЗ", стоматологической клиники, юридической фирмы, а также медиахолдинга РБК.

Схема атаки

На начальном этапе злоумышленники используют TinyNode бэкдор, который загружает и запускает дополнительные вредоносные программы. Получив удаленный доступ к компьютеру жертвы, киберпреступники могут легко выполнить сетевую разведку, собрать ценные данные и распространить вредоносы по сети организации. Как и многие другие группы, OldGremlin использует фреймворк Cobalt Strike для обеспечения максимальной эффективности постэксплуатационных действий. 

Затем злоумышленники перемещаются по сети, получив учетные данные администратора домена. Они создают дополнительный аккаунт с такими же привилегиями, если основный аккаунт будет заблокирован. В данном случае резервное копирование не поможет сохранить данные, т.к. киберпреступники сотрут все резервные копии и за несколько часов в выходные дни распространят TinyCryptor на все компьютеры корпоративной сети. 


Атака от 14 марта 2022:

Хакеры из OldGremlin атаковали сайт Wildberries и поместили в него вирус-шифровальщик, который стал причиной масштабного сбоя в работе Wildberries. Статья >>

Другие атаки в марте 2022:

Статья GROUP-IB >>

Хакерская группа OldGremlin продолжает целенаправленные атаки на другие российские объекты. Это только подтверждает локализацию хакеров из Украины или другой страны, использующей исполнителей, знающих русский язык. 

Хакерской группой могут использоваться различные уловки в email-рассылках: 

- сообщение на тему санкций против российских компаний, 

- сообщения из суда, банка, иной финансовой организации;

- сообщения от адвокатов, риелторов, тяжба с наследством; 

- ссылки на просмотр, загрузку, заманчивые тарифные планы;

- предложения от "Яндекса", "Dropbox", "Google", из соц. сетей. 

Новость от 20 октября 2022:

Статья на сайте BC >>

Вариант для Linux. ориентированный на российские организации, работает так же, как вариант для Windows, используя алгоритм AES с режимом блочного шифрования CBC для шифрования файлов с помощью 256-битного ключа, который шифруется с использованием асимметричной криптосистемы RSA-2048. Исполняемый файл вредоноса упаковывается с помощью Ultimate Packer (UPX) и добавляет расширение .crypt к зашифрованным файлам, среди которых .RAW, .ZST, .CSV, .IMG, .ISO, SQL, TAR, TGZ, .DAT, .GZ, .DUMP.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Decr1pt)
 Write-up, Topic of Support
 Added later: Большая охота OldGremlin

 Thanks: 
 _re_fox, Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WhoLocker

WhoLocker Ransomware

Aliases: Wholocked, Who, XX, Gendarmerie, Mavideo

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.036 BTC (300 EURO), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле шифровальщика написано: xX.exe, mavideo.exe и Gendarmerie B.V.3

Обнаружения на файл dokument.exe:
DrWeb -> Trojan.Nanocore.23
BitDefender -> Trojan.GenericKD.43245898
ALYac -> Backdoor.DarkKomet.gen
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> A Variant Of Win32/TrojanDropper.Agent.SJG
Malwarebytes -> Trojan.Agent
Rising -> Backdoor.DarkKomet!8.13E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0GG320
---
Обнаружения на файл xX.exe:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1129970
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: HiddenTear >> DarkKomet, Gendarmerie > WhoLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wholocked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа называется: READ_ME_Heyyyyyyy.txt

Содержание записки о выкупе:
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted.
The encryption was done using a secret keythat is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
What can I do?
Pay the ransom, in bitcoins, in the amount and wallet below. You can use www.coindirect.com/de - coinbase.com - coinmama.com - LocalBitcoins.com to buy bitcoins.
0,036 Bitcoin = 300 EURO
Send BTC Address = 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши документы (базы данных, тексты, изображения, видео, музыка и т. Д.) зашифрованы.
Шифрование выполнено с использованием секретного ключа, который сейчас находится на наших серверах.
Для расшифровки ваших файлов вам нужно купить секретный ключ у нас. Мы единственные в мире, кто может предоставить это для вас.
Что я могу сделать?
Заплатите выкуп, в биткойнах, в сумме и кошельке ниже. Вы можете использовать www.coindirect.com/de - coinbase.com - coinmama.com - LocalBitcoins.com для покупки биткойнов.
0,036 Bitcoin = 300 EURO
Отправьте на BTC Address = 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX



Другим информатором жертвы выступает экран блокировки: 

Изображение загружается с сайтов, предоставляющих загрузку изображений всем желающим. Почему-то не всегда размер подстраивается под экран. Мы получили и другие варианты изображений. 

 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Действия, которые выполняет WhoLocker: 
Подключается к C&C-серверу
Читает и изменяет настройки системных сертификатов
Добавляет / изменяет сертификаты Windows
Запускает cmd.exe для выполнения команд и самоудаления
Самоудаляется после шифрования
Изменяет настройки интернет-зон
Изменяет значение автозапуска в реестре (добавляется в Автозагрузку)
Читает настройки Internet Explorer и интернет-кэша

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
xX.exe (mavideo.exe) - исполняемый файл шифровальщика
dokument.exe (1.exe) - исполняемый файл блокировщика

  

 

xc.exe, XVlBzgbaiC.exe - другие исполняемые файлы
READ_ME_Heyyyyyyy.txt - название файла с требованием выкупа

ransom.jpg - изображение, загруженное на компьютер
Wallpaper.jpg - изображение, заменяющее обои Рабочего стола
mavideo.pdb - оригинальное название файла проекта
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\1.exe
C:\Users\User\AppData\Local\Temp\xc.exe
C:\Users\User\AppData\Local\Temp\xX.exe
C:\Users\User\AppData\Local\Temp\XVlBzgbaiC.exe
C:\Users\ahmet\Desktop\x\x\ransomware-fud_2018-master\Gendarmerie B.V.3\obj\Debug\mavideo.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CLR_PerfMon_StartEnumEvent
HookSwitchHookEnabledEvent
Global\CPFATE_1156_v4.0.30319
Global\SvcctrlStartEvent_A3752DX
Global\BFE_Notify_Event_{e59d25e7-a5de-4189-b874-fbe0748c64a2}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://i.imgur.com/JZpthVI.png
URL изображения: https://i.ibb.co/0FqWJSH/Untitled.png
URL: xxxx://aho414141.beget.tech/x/lending/tds.php
www.google.fr
Email: 
BTC: 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
🔻 Triage analysis (xX.exe) >>
Ⓗ Hybrid analysis (dokument.exe) >>
Ⓗ Hybrid analysis (xX.exe) >>
𝚺  VirusTotal analysis (dokument.exe) >>
𝚺  VirusTotal analysis (xX.exe) >>
🐞 Intezer analysis (dokument.exe) >>
🐞 Intezer analysis (xX.exe) >>
ᕒ  ANY.RUN analysis (dokument.exe) >>
ᕒ  ANY.RUN analysis (xX.exe) >>
ⴵ  VMRay analysis (xX.exe) >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 июля 2020:
Пост в Твиттере >>
Расширение: .wholocked
Результаты анализов: VT + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Alex Svirid
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.