Если вы не видите здесь изображений, то используйте VPN.

суббота, 19 декабря 2020 г.

Amjixius, Ancrypted

Amjixius Ransomware

Ancrypted Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ancrypted1@gmail.com.exe
---
 Обнаружения:
DrWeb -> Trojan.Encoder.33331
BitDefender -> Trojan.GenericKD.35784096
Avira (no cloud) -> HEUR/AGEN.1129525
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEQ
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AAD6
Qihoo-360 -> Win32/Trojan.c96
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Generic.Tayv
TrendMicro -> TROJ_GEN.R002C0WLN20
---
© Генеалогия: ??? >> Amjixius (Ancrypted) 

Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .AMJIXIUS

К зашифрованным файлам добавляется составное расширение по шаблону: 
.[ancrypted1@gmail.com][<id>].AMJIXIUS

 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Образец этого крипто-вымогателя найден в середине декабря 2020 г., в день компиляции исполняемого файла, потому вряд ли он успел широко распространиться. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки, который можно закрыть. Есть крестик в правом верхнем углу. 


Содержание записки о выкупе: 
ID : MzlmFG3W4***
---
All your files have been encrypted
Contact us to this email to decrypt your files:
ancrypted1@gmail.com
In case of of no answer in 24 hours contact the secondary email:
ancrypted1@gmail.com
You can unlock them by buying the special key generated for you
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived),and files should not contain valuable information. (databases,backups,large excel sheets, etc.)
Payment is possible only with bitcoin
How to obtain bitcoins
The easoway to buy bitcoins is LocalBitcoins site, you have to register, click ?Buy bitcoins?, and select the seller by payment ***

Перевод записки на русский язык: 
ID: MzlmFG3W4***
---
Все ваши файлы зашифрованы
Свяжитесь с нами по этому email-адресу, чтобы расшифровать ваши файлы:
ancrypted1@gmail.com
В случае отсутствия ответа в течение 24 часов, обратитесь на дополнительный email-адрес:
ancrypted1@gmail.com
Вы можете разблокировать их, купив сгенерированный для вас специальный ключ.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов не должен превышать 4 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Оплата возможна только биткойнами
Как получить биткойны
Легкий способ купить биткойны - это сайт LocalBitcoins, вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты ***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
ancrypted1@gmail.com.exe - название вредоносного файла


 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: ancrypted1@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 21 января 2021:
Расширение: .AMJIXIUS
Шаблон расширения: .[surpakings@mail.ee][<id>].AMJIXIUS
Email: surpakings@mail.ee
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, M. Shahpasandi
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

Povlsomware

Povlsomware Ransomware 

RansomeToad Ransomware 

Povlsomware NextGen Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Povlsomware и Povlsomware (2.0.0.0). На файле написано: Povlsomware.exe.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.33339, Trojan.Encoder.33672, Trojan.Encoder.34143
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/RansomX.micih, TR/Ransom.lckub
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Microsoft -> Trojan:Win32/Ymacco.AAFD, Ransom:MSIL/CryptoLocker.DF!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_RAMSIL.SM, Ransom.MSIL.POVLSOM.SMTH
---
© Генеалогия: ??? >> Povlsomware

Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .rtcrypted
 

 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

 Записка с требованием выкупа называется: ransometoad.txt

Другим информатором жертвы выступает экран блокировки: 



Содержание записки о выкупе:
Your files can only be retrived by entering the correct password. 
In order to get the password please by it in
hxxxs://primearea.biz/product/235093/

 Перевод записки на русский язык:
Ваши файлы можно вернуть после ввода правильного пароля.
Чтобы получить пароль, введите его в
hxxxs://primearea.biz/product/235093/



Сумма покупки - 60 рублей. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransometoad.txt - название файла с требованием выкупа 
Povlsomware.pdb - название файла проекта 
Povlsomware.exe - название вредоносного файла 


 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Thomas\Desktop\Povlsomware-master\Povlsomware\obj\Debug\Povlsomware.pdb

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
URL: hxxxs://primearea.biz/product/235093/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Вариант от 21 января 2021:
Расширение: нет
Файл: Рекомендательное письмо.exe
Результаты анализов: VT + IA


Вариант от 23 марта и позже: 
Самоназвание: M.0.A.B. Ransomware
Расширение: нет
Email: m0absupport@protonmail.ch
Результаты анализов: VT + VT

 

➤ Содержание текста: 
ACCESS DENIED!
REJECTED PORT: 8081
IP ADDRESS:
Your files can only be retrieved by entering the
correct password. Dont Worry This Isnt
Permanent. Well Maybe. Its Up To You. If your
files are important ti you we can Unlock Your
Files For $200.00 In order to get the password
please send a mail And Ask for The Bitcoin
Addres to m0absupport@protonmail.ch
Enter password:  DeCrypt


Вариант от 19 июня 2021: 
Самоназвание: ALPHA LOCKER
C:\Users\ALPHA_HACKER\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\Release\Povlsomware.pdb
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34046
BitDefender -> Gen:Variant.MSILHeracles.7859
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Malwarebytes -> Ransom.Povlsomware
Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB
TrendMicro -> Ransom_CryptoLocker.R002C0DFI21



Вариант от 12 июля 2021: 
Email: no-reply@forgetit.com
Файл проекта: C:\Users\Alpha\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\x86\Release\Povlsomware.pdb
Код разблокировки: blahblah
Файл: Povlsomware.exe
Результаты анализов: VT


Вариант от 25 июля 2021:
C:\work\Povlsomware\Mishmash\obj\Debug\Mishmash.pdb
Код разблокировки: pass
Файл: Mishmash.exe
Результаты анализов: VT + IA


Вариант от 18 сентября 2021: 
Название в заголовке: Splash Ransomware
Email: medusalocker@protonmail.com
Код разблокировки: jara1234
Файл: Povlsomware.exe
Результаты анализов: VT


Вариант от 29 октября 2021: 
Самоназвание: CryptoLocker, CryptoCrazy 1.0 Ransomware
Email: dubai317898@gmail.com
Пароль: @7K#cN1P
Файл проекта: D:\Trabalho\Projeto_FInal\CriptLook_Todos\Povlsomware\obj\Debug\CryptoLocker.pdb
Файл EXE: CryptoLocker.exe
Результаты анализов: VT
MD5: 34b2aad3ab44ef46ecfe5c41f2dc2e9d



Вариант от 10 ноября 2021: 
Самоназвание: BloodFox
Обходит UAC, отключает средства безопасности и диспетчер задач в реестре. 
Расширение к зашифрованным файлам не добавляется. 
Email: noclue3636@dnmx.org
BTC: 1E8ywazpZT8UAi2ot6Se8YH5ipXZbuUJn7



Файл проекта: C:\Users\capde\Downloads\Povlsomware-2.0.0.4\Povlsomware-2.0.0.4\Povlsomware\obj\Debug\Priyte's Adventure C++.pdb
Пароль: 6HBB05VL
Файл: Priyte's Adventure C++.exe
Результаты анализов: VT + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34499
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Hqvn
TrendMicro -> Ransom_CryptoLocker.R002C0DKA21


Вариант от 3 мая 2022:
Файл проекта: C:\Users\cubec\Desktop\AXO-LOCKERV2\AXO-LOCKER\AXO-LOCKER\obj\Debug\AXO-LOCKER.pdb
Файл: AXO-LOCKER.exe
Результаты анализов: VT + IA


Вариант от 1 июля 2022:
Файл проекта: C:\Users\minec\source\repos\RingMalware\RingMalware\obj\Release\RingMalware.pdb
Файл: RingMalware.exe
Результаты анализа: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.35529
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Povlsomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 dnwls0719
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

BlueEagle

BlueEagle Ransomware

Saher Blue Eagle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.812 BTC, чтобы вернуть файлы. Оригинальное название: Blue Eagle Ransomware. На файле написано: ransome.exe. 
---
 Обнаружения:
DrWeb -> Trojan.Encoder.32616
BitDefender -> Trojan.Ransom.BlueEagle.3
ESET-NOD32 -> A Variant Of MSIL/Kryptik.KXU
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Backdoor:Win32/Bladabindi!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Lpvz
TrendMicro -> Ransom_Encoder.R002C0RLJ20
---
© Генеалогия: ??? >> BlueEagle

Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: ..MaxSteel.Saher Blue Eagle


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на середину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Первая часть текста в экране блокировки

Вторая часть текста в экране блокировки

Изображение заменяющее обои

Вот как всё это выглядит вместе (см. скриншоты ниже). 

Содержание записки о выкупе: 
Blue Eagle Ransomware
-------------------------------
####### Saher Blue Eagle Ransomware #######
What Happened to my computer?
#######################################
Nothing happened , Just your computer has been hacked and then you see a [Ransomware] on your screen ,
you have been hacked by (Saher blue eagle products) User
this ransomware was coded by (Saher blue eagle)
So to sum up [All of your usable files have been encrypted safely].
#######################################
How do i set my files free ?
#######################################
You can use Decrypt in this Program,simply But it will ask you for a password ,
So to get the password you have to pay me at bitcoin and don~t close internet connection ,
because closing internet connection will lead you to lose Connection to AI ("Verci") because every PC has it's
own signature,
so if you don't follow the steps you will lose your files forever .
#######################################
How do I get password ?
#######################################
Just we told you
Step #1: Never Stop Internet connection
(you will be at risk) |
Step #2 : Pay Bitcoin (0.812) and the AI will send you the Password (Once you receive password Decrypt and reinstall new windows version).
Payment:
My Bitcoin: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS
File Extensions : .MaxSteel.Saher Blue Eagle
[Check for Payment]
[Decrypt my files]


Перевод записки на русский язык: 
Blue Eagle Ransomware
-------------------------------
####### Saher Blue Eagle Ransomware #######
Что случилось с моим компьютером?
#############################################################
Ничего не произошло. Ваш компьютер был взломан, и теперь вы видите на экране [Ransomware],
вы Пользователь были взломаны (Saher blue eagle продукты)
этот вымогатель закодировал (Saher blue eagle)
Итак, чтобы подвести итог [Все ваши файлы надежно зашифрованы].
#############################################################
Как освободить файлы?
#############################################################
Вы можете просто использовать Decrypt в этой программе, но она попросит вас ввести пароль,
Чтобы получить пароль, вы должны заплатить мне биткойны и не закрывать интернет-соединение,
т.к. закрытие интернет-соединения приведет к потере соединения с AI ("Verci"), т.к. у каждого ПК 
собственная подпись, поэтому, если вы не выполните эти шаги, вы потеряете свои файлы навсегда.
#############################################################
Как мне получить пароль?
#############################################################
Только что мы сказали вам
Шаг №1: никогда не закрывайте подключение к Интернету
(вы будете в опасности) |
Шаг № 2: Заплатите биткойн (0.812), и AI отправит вам пароль (когда получите пароль, расшифруйте и переустановите новую версию Windows).
Оплата:
Мой биткойн: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS
Расширения файлов: .MaxSteel.Saher Blue Eagle
[Check for Payment]
[Decrypt my files]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Завершает некоторые процессы с помощью команд:
taskkill /F /IM MSExchange 
taskkill /F /IM sqlserver.exe 
taskkill /F /IM mysqld.exe 
taskkill /F /IM explorer.exe 
taskkill /F /IM Microsoft.Exchange 
taskkill /F /IM sqlwriter.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Saher_Blue_Eagle_Ransomware.exe  - название вредоносного файла
ransome.exe - название вредоносного файла
Back.jpg - изображение заменяющее обои Рабочего стола


 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\\Users\User\AppData\Roaming\Back.jpg

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: - 
BTC: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

четверг, 17 декабря 2020 г.

Hades

Hades Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hades ransomware. Целевые системы: Windows x64. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской. 
---
👉 Ранее эту группу США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? 
---
 Обнаружения:
DrWeb -> Trojan.Siggen13.3039
ALYac -> Trojan.Ransom.Hades
BitDefender -> Trojan.GenericKD.36700209
ESET-NOD32 -> Win64/Filecoder.Conti.B
Kaspersky -> Trojan-Ransom.Win32.Crypmodng.fu
Malwarebytes -> Malware.AI.2000420884
Microsoft -> Trojan:Win64/CryptInject!MSR
Symantec -> Downloader
TrendMicro -> TROJ_FRS.0NA103DF21
---
© Генеалогия: WastedLocker (Phoenix Cryptolocker) >> Hades

Изображение — логотип статьи

 К зашифрованным файлам добавляется случайное расширение: .xxxxx

Например: .rh94k

 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

 Записка с требованием выкупа называется: HOW-TO-DECRYPT-xxxxx.txt



Содержание записки о выкупе: 
��[+] What happened? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension *.rh94k
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant get back your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.
[+] How to get access on website? [+]
Using a TOR browser!
  - Download and install TOR browser from this site: hxxps://torproject.org/
  - Open our website: xxxx://ixltdyumdlthrtgx.onion
  - Follow the on-screen instructions
Extension name:
*.xxxxx
-----------------------------------------------------------------------------------------
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) will make everything possible for restoring, but please do not interfere.
!!! !!! !!!

 Перевод записки на русский язык:
�� [+] Что случилось? [+]
Ваши файлы зашифрованы и сейчас недоступны. Вы можете это проверить: все файлы на вашем компьютере имеют расширение *.rh94k
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
[+] Как получить доступ на сайт? [+]
Используя браузер TOR!
  - Загрузите и установите браузер TOR с этого сайта: xxxxs: //torproject.org/
  - Откройте наш сайт: xxxx://ixltdyumdlthrtgx.onion
  - Следуйте инструкциям на экране.
Имя расширения:
* .xxxxx
-------------------------------------------------- ---------------------------------------
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменять файлы сами, НЕ используйте какую-либо стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) сделаем все возможное для восстановления, но просим не мешать.
!!! !!! !!!

---
Скриншот с Tor-сайта, названного в тексте записки: 


Содержание текста на Tor-сайте: 
Hades ransomware.
Contact Us
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to the public.
For further details contact us via TOX messenger:
2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Copyright © Hades 

Перевод текста на русский язык: 
Hades ransomware.
Контакт с нами
Мы взломали вашу сеть, скачали и зашифровали ваши данные.
Вы можете вернуть свои данные и не дать утечь данным в открытый доступ.
Для информации напишите нам в мессенджере TOX:
2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Copyright © Hades 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ Большая часть функций взята у WastedLocker, кроме того: статическая конфигурация, основанная на ISFB, многоэтапный процесс сохранения, установки, перечисление файлов, каталогов и функции шифрования.

➤ Удаляет теневые копии файлов. Самоудаляется после шифрования. 

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-DECRYPT-xxxxx.txt - название файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла. 

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Tor-URL: 5lyi3c7x3ioakru4.onion
Tor-URL: ixltdyumdlthrtgx.onion

Скриншоты с сайтов: 

 


TOX messenger: 2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 15 декабря 2020:
Транспортная и логистическая компания Forward Air подверглась атаке со стороны Hades Ransomware, которая повлияла на бизнес-операции компании.
Сообщение от 25 марта 2021:
Evil Corp перешла на Hades Ransomware, чтобы избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов (OFAC).

Сообщение от 15 июня 2021: 
Статья на сайт Secureworks.com >>
Финансово мотивированная группа, использующая вымогатель Hades, известна как GOLD WINTER. Отсутствие Hades на подпольных форумах и торговых площадках говорит о том, что он работает как частный вымогатель, а не как RaaS. 


Вариант от 15 декабря 2021: 
Выдают себя за REvil. 
Расширение: .revil
Записка: revil.read.txt








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Hades)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *