HelloKitty, Kitty

HelloKitty Ransomware

Kitty Ransomware

HelloKitty Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES-256 и RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ag.exe. Написан на C++. В мае 2021 появился новый вариант написанный на языке Go. 

Существует несколько разных версий, которые используют для шифрования разную комбинацию алгоритмов: AES-256 + RSA-2048, AES-128 + NTRU. Также есть версия для Linux, использующая AES-256 + ECDH.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33143, Trojan.Encoder.33348, Trojan.Encoder.33464
BitDefender -> Gen:Heur.Ransom.Imps.1, Gen:Variant.Ransom.Adhubllka.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Redcap.pdjtm, HEUR/AGEN.1127999
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.D
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.DeathRansom
Microsoft -> Trojan:Win32/Ymacco.AA9A
Rising -> Trojan.Generic@ML.85 (RDML:Hg3*
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Trojan.Win32.IMPS.USMANKI20
---

© Генеалогия: ✂️ DeathRansom, Adhubllka > TechandStrat > HelloKitty (Kitty) > FiveHands 

© Генеалогия: HelloKitty (Kitty) > Kitty Go, Kitty Linux 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted

Этимология названия:

Слово HelloKitty есть в мьютексе HelloKittyMutex. Вымогатели оказались настолько пугливыми, что не воспользовались email для связи с жертвами, использовали только специальный адрес на onion-сайте, без первичной страницы домена, никак не назвали свою программу и напуганные вопросами в чате сразу сбежали восвояси. Поэтому в логотип статьи был добавлен напуганный котенок. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me_lkdtt.txt
Вероятно, что используется шаблон: read_me_<abbreviation>.txt

Содержание записки о выкупе:

Hello dear user.

Your files have been encrypted.

-- What does it mean?!

Content of your files have been modified. Without special key you can't undo that operation.

-- How to get special key?

If you want to get it, you must pay us some money and we will help you.

We will give you special decryption program and instructions.

-- Ok, how i can pay you?

1) Download TOR browser, if you don't know how to do it you can google it.

2) Open this website in tor browser: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829b93e6d8dbdb10f82c5af4

3) Follow instructions in chat. 

Перевод записки на русский язык:

Привет дорогой пользователь.

Ваши файлы зашифрованы.

-- Что это значит?!

Содержание ваших файлов было изменено. Без специального ключа вы не сможете отменить эту операцию.

- Как получить специальный ключ?

Если вы хотите его получить, вы должны заплатить нам немного денег, и мы вам поможем.

Мы дадим вам специальную программу расшифровки и инструкции.

- Хорошо, как я могу тебе заплатить?

1) Загрузите браузер TOR, если не знаете, как это сделать, можете погуглить.

2) Откройте этот веб-сайт в браузере TOR: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/02f6af250649555ea1b65f20fd9e815b23ba7d84829c93db10f8d8d8d

3) Следуйте инструкциям в чате.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ При выполнении HelloKitty завершает 1706 процессов, закрывает 57 служб и удаляет теневые копии файлов.

➤ HelloKitty содержит встроенный открытый ключ RSA-2048. Этот открытый ключ хешируется SHA256 и используется в качестве идентификатора жертвы в записке с требованием выкупа. Этот открытый RSA-ключ также используется для шифрования симметричного ключа каждого файла.

Для симметричного ключа HelloKitty генерирует 32-байтовое начальное значение на основе метки времени ЦП. Генерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат подвергается операции XOR с первым семенем, в результате чего получается 32-байтовый ключ, используемый для AES-шифрования каждого файла.

После того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES зашифровываются с помощью открытого ключа RSA и добавляются к файлу. HelloKitty добавляет эти дополнительные метаданные в зашифрованный файл. Затем он добавляет четыре магических байта DA DC CC AB в конец зашифрованного файла.

В зависимости от версии HelloKitty может изменять или не изменять расширение файла.

В других образцах HelloKitty вместо RSA использовался встроенный открытый ключ NTRU.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_lkdtt.txt - название файла с требованием выкупа
ag.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\ag.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
HelloKittyMutex

Мьютекс нужен, чтобы предотвратить запуск нескольких экземпляров шифровальщика одновременно. 

Сетевые подключения и связи:
Tor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

DeathRansom Ransomware - ноябрь 2019 - август 2020 

другие варианты - в течении 2020

TechandStrat Ransomware - октябрь 2020

HelloKitty Ransomware - ноябрь 2020

FiveHands Ransomware - декабрь 2020 - январь 2021 и далее

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26-27 декабря 2020: 

Сообщение >>

Нацелен на бразильские компании. 

В тексте упоминаеттся CEMIG - бразильская энергетическая компания.

Расширение: .kitty

Записка: read_me_lkdtt.txt

➤ Другим информатором является чат на Tor-сайте. 

Немного текста от вымогателей:

 

You was attacked by Kitty ransomware

All your documents, photos, databases and other important files have been encrypted.

The only way to decrypt your files is to receive the decryption program.

For details talk with support in chat.

Hello CEMIG, i'll help you to recover your files, type first message here to start.

***

You have 24 hours to start dialogue or i'll publish your private data or sell it on darknet, i do not care who will take it, you or someone else, we have many backdoors in your system and i sell this information too, so you can stay silent or protect personal data of your employers, secret data of your company and we can remove all backdoors... think about it. You have not so much time.

---

Результаты анализов: VT + AR + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33348

Avira (no cloud) -> HEUR/AGEN.1127999

BitDefender -> Gen:Variant.Ransom.Adhubllka.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.D

Kaspersky -> HEUR:Trojan.Win32.Udochka.gen

Malwarebytes -> Ransom.DeathRansom

Rising -> Trojan.Generic@ML.97 (RDML:Xr*

Symantec -> Ransom.CryptoTorLocker

Tencent -> Win32.Trojan.Filecoder.Wpti

TrendMicro -> TROJ_GEN.R002H09LR20, Ransom_CryptoLocker.R002C0DG821

Вариант от 25-26 декабря или позже, в январе 2021:

Отдельная статья: FiveHands Ransomware >>

Расширение: .crypt

Записка: DECRYPT_NOTE.txt

Имеются отличия, см. сравнительную таблицу разных функций для FiveHands - HelloKitty - DeathRansom. 

=== 2021 ===

Вариант от 28 января 2021: 

Сообщение >>

Расширение: .crypted

Записка: read_me_lkd.txt

Tor-URL: hxxx://6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion/*

Результаты анализов: VT + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33464

BitDefender -> Generic.Malware.PfVPk!12.299C21F3

ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.C

Kaspersky -> HEUR:Trojan.Win32.AntiAV

Malwarebytes -> Ransom.HelloKitty

Microsoft -> Ransom:Win32/Death.DB!MTB

Rising -> Ransom.Death!8.11553 (CLOUD)

Symantec -> Trojan.Gen.MBT

Tencent -> Win32.Trojan.Filecoder.Ecav

TrendMicro -> Ransom.Win32.DEATHRANSOM.F

Вариант от 9 февраля 2021:

Отдельная статья: Epically Ransomware >>


Обновление от 11 февраля 2021: 

Некоторые пояснения по вариантам HelloKitty:

Статья на сайте Emsisoft >>

Вариант от 9 мая 2021:

Название: Kitty Go. 

Сообщение >>

Объект атаки: медицинская компания Western Pathology (США). 

Расширение: .crypted

Записка: read_me_unlock.txt

Новый проект: /Go/src/kitty/kidata/kidata.go

➤ Содержание записки: 

Hello dear westernpathologyinc! 

Unfortunately, your files have been encrypted and attackers are taking over 1 TB of your personal data. 

financial reports and many other documents. 

Do not try to recover files yourself, you can damage them without special software. 

We can help you recover your files and prevent your data from leaking or being sold on the darknet. 

Just contact support using the following methods and we will decrypt ..one non-important file for free to convince you of our honesty.

use TOR browser to talk with support

hxxx://uqudwxzszbcj6uxbhbdccmixvwjfewn565ifotzvcbbimsjjcczsvpyd.onion/*

---

Результаты анализов: VT + VT + VMR + JSB + IA + IA + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33894

BitDefender -> Trojan.Ransom.Agent.BX

ESET-NOD32 -> A Variant Of WinGo/Filecoder.M

Kaspersky -> VHO:Trojan-Ransom.Win32.Convagent.gen

Malwarebytes -> Malware.AI.4199637328

Microsoft -> Trojan:Win32/Hynamer.C!ml

Rising -> Ransom.Encoder!8.FFD4 (RDMK:cmR*

TrendMicro  -> TROJ_GEN.R002H07E921, Ransom_Encoder.R002C0WEC21

Вариант от даты появления:

Название: Kitty Linux (для Linux-систем) 

Расширение: .crypt
Используется OpenSSL (AES256 + secp256k1 + ECDSA)

Вариант июня 2021:

Сообщение >>

Название: Vice Society. Вероятно спин-офф от HelloKitty. 

Шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA). 

Расширение: .v-society

Email: V-society.official@onionmail.org, ViceSociety@onionmail.org

Вариант от 15 июля 2021:

Сообщение >>

Статья на сайте BC >>

Новая версия HelloKitty нацелена на серверы ESXi и виртуальные машины, работающие на них.

Сообщение от 13 августа 2021:

Статья на сайте BC >>

Группа вымогателей Vice Society теперь активно использует уязвимость PrintNightmare (CVE-2021-1675 и CVE-2021-34527) диспетчера очереди печати Windows для бокового перемещения по сетям своих жертв.

Вариант от 18 ноября 2021: 

Сообщение >>

Расширение: .boombye

Записка: _read_me_bro.txt

Май-июнь 2022:

Группа вымогателей ViceSociety атакует Палермо.

Статья об этом >>

Апрель 2023: 

Vice Society использует в атаках новый скрипт PowerShell для кражи данных 

Статья об этом >>

Новость от 19 апреля 2024:

Сообщение >>

Злоумышленник Gookee/kapuchin0 сделал объявление, в котором утверждает, что является первоначальным создателем HelloKitty Ransomware, меняет назщвание на HelloGookie Ransomware, и в честь такого праздника публикует четыре частных ключа для для расшифровки файлов в ходе старых атак, а также внутреннюю информацию, украденную у Cisco во время атаки 2022 года, и пароли к утекшему исходному коду для Gwent, Witcher 3, Red Engine, украденному у CD Projekt в 2021 году.

Статья на сайте BC об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Topic of Support
 Added later: Write-up by FireEye (on April 29, 2021)

 Thanks: 
 Andrew Ivanov (article author)
 quitman7, Michael Gillespie
 FireEye
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Exerwa CTF

Exerwa Ransomware

Exerwa CTF Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Exerwa (Ekserva). На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Exploit.Siggen2.65197
BitDefender -> Trojan.GenericKD.35314079
ALYac -> Trojan.Downloader.DOC.Gen
Avira (no cloud) -> W97M/Hancitor.heshl
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSOffice.SAgent.gen
Malwarebytes -> ***
Microsoft -> ***
Rising -> ***
Symantec -> W97M.Downloader
Tencent -> ***
TrendMicro -> TROJ_FRS.VSNW17K20


© Генеалогия: другие вредоносы с макросами >> Exerwa CTF

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .exerwa
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2020 г. На момент написания статьи было известно только о пострадавших в Венгрии. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: ***нет данных***

Содержание документа с макросами написано на английском и венгерском языках. В нём предлагается включить макросы, чтобы зашифровать файлы. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Patent_656419797_as-of-27thJune2020.doc - название вредоносного файла с макросами

decode.bat

exec.exe

script.ps1

Схема запуска:

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Documents and Settings\%USERNAME%\Exerwa\decode.bat

C:\Users\admin\Exerwa\exec.exe

C:\Users\admin\Exerwa\script.enc

C:\Users\admin\Exerwa\script.ps1

C:\Users\admin\Exerwa\decode.bat

C:\Users\admin\AppData\Local\Temp\~$tent_656419797_as-of-27thJune2020.doc

C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm

C:\Users\admin\AppData\Local\Temp\CVR7140.tmp.cvr

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Exerwa CTF)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MXX

MXX Ransomware

TucoSalamanca Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в 0.025 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: ??? >> MXX (TucoSalamanca)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .MXX

Фактически используется составное расширение по шаблону: 

.id-XXXXXXXX[<email>].MXX

Примеры зашифрованных сайтов:

photo001.png.id-8C76543[Tuko.Salamanca@mailfence.com].MXX

photo001.png.id-326C630[Tuko.Salamanca@mailfence.com].MXX

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются: 

How To Recover Your Files!!!!.txt

How To Recover Your Files.txt

Содержание записки о выкупе:

Hi !!!

All Your Files Have Been Encrypted!

Your system security is very low, worse things could have happened

But do not worry, I am here to help you

You can decrypt all your files for a fair amount of bitcoin, and I will help improve the security of your system.

Just send a message to this email : Tuko.Salamanca@mailfence.com

And write this ID in subject of your message : XXXXXXX

If we do not respond within 24 hours, Contact us with this email : TucoSalamanca@elude.in

If you do not pay, you will never find your system bug and your information will be leaked to others

Before paying you can send us up to 1 file for free decryption. the total size of files 1Mb, and files should not contain valuable information(Databases,Backups,Exel,etc).

Warning!!!!

* Never change the name of your files

* Never try to decrypt files with other tools, you may lose them forever

Перевод записки на русский язык:

Привет !!!

Все ваши файлы зашифрованы!

Безопасность вашей системы очень низкая, могло случиться и похуже

Но не волнуйтесь, я здесь, чтобы помочь вам

Вы можете расшифровать все свои файлы за приличную сумму биткойна, и я помогу повысить безопасность вашей системы.

Просто отправьте сообщение на этот адрес email: Tuko.Salamanca@mailfence.com

И впишите этот ID в тему вашего сообщения: XXXXXXX

Если мы не ответим в течение 24 часов, свяжитесь с нами по email: TucoSalamanca@elude.in

Если вы не заплатите, вы никогда не найдете свою системную ошибку, и ваша информация будет передана другим

Перед оплатой вы можете отправить нам 1 файл для бесплатной расшифровки. общий размер файлов 1Мб, при этом файлы не должны содержать ценной информации (базы данных,бэкапы,Exel и пр.).

Предупреждение!!!!

* Никогда не меняйте названия ваших файлов

* Никогда не пытайтесь расшифровать файлы чем-то другим, вы их потеряете

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Recover Your Files!!!!.txt - название файла с требованием выкупа

How To Recover Your Files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Tuko.Salamanca@mailfence.com

Email-2: TucoSalamanca@elude.in
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Один из пострадавших сайтов - xxxx://37.187.173.14/

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая. 
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== ДЕШИФРОВЩИК === DECRYPTOR ===

 
Оригинальный дешифровщик

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message, Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 AlexSvirid, Emmanuel_ADC-Soft, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Lola, Blockchain

Lola Ransomware

Blockchain Generator 2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: BLOCKCHAIN GENERATOR 2021.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.59723
BitDefender -> Trojan.GenericKD.35089323
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.Generic
Microsoft -> Trojan:Win32/Ymacco.AA50
Rising -> Trojan.Pack-RAR!1.BB61 (CLASSIC)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> TROJ_GEN.R002C0GK620


© Генеалогия: ??? >> Lola (Blockchain Generator 2021) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lola


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Please_Read.txt

Содержание записки о выкупе: 

------------------------ ALL YOUR FILES ARE ENCRYPTED ------------------------

Don't worry, you can return all your files!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key. 

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information

Don't try to use third-party decrypt tools because it will destroy your files.

Discount 50% available if you contact us first 72 hours.

-----------------------------------------------------------------------------------------

To get this software you need write on our e-mail : vjkumaren@protonmail.com

You will receive btc address for payment in the reply letter

Your personal ID : ***

Перевод записки на русский язык: 

------------------------ ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ------------------------

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.

Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.

Эта программа расшифрует все ваши зашифрованные файлы.

Какие гарантии мы вам даем?

Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.

Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации

Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.

Скидка 50% будет, если вы свяжетесь с нами в первые 72 часа.

-------------------------------------------------- ---------------------------------------

Чтобы получить эту программу, вам надо написать на наш email: vjkumaren@protonmail.com

В ответном письме вы получите адрес btc для оплаты

Ваш личный ID: ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команд:

"cmd.exe" /c vssadmin.exe delete shadows /all /quiet 

vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Please_Read.txt - название файла с требованием выкупа
BLOCKCHAIN GENERATOR 2021.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vjkumaren@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Message + Message
 ID Ransomware (ID as Lola)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.