Povlsomware

Povlsomware Ransomware 

RansomeToad Ransomware 

Povlsomware NextGen Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Povlsomware и Povlsomware (2.0.0.0). На файле написано: Povlsomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33339, Trojan.Encoder.33672, Trojan.Encoder.34143
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/RansomX.micih, TR/Ransom.lckub
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Microsoft -> Trojan:Win32/Ymacco.AAFD, Ransom:MSIL/CryptoLocker.DF!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_RAMSIL.SM, Ransom.MSIL.POVLSOM.SMTH
---

© Генеалогия: ??? >> Povlsomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .rtcrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: ransometoad.txt

Другим информатором жертвы выступает экран блокировки: 

Содержание записки о выкупе:

Your files can only be retrived by entering the correct password. 

In order to get the password please by it in

hxxxs://primearea.biz/product/235093/

Перевод записки на русский язык:

Ваши файлы можно вернуть после ввода правильного пароля.

Чтобы получить пароль, введите его в

hxxxs://primearea.biz/product/235093/

Сумма покупки - 60 рублей. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransometoad.txt - название файла с требованием выкупа 

Povlsomware.pdb - название файла проекта 
Povlsomware.exe - название вредоносного файла 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Thomas\Desktop\Povlsomware-master\Povlsomware\obj\Debug\Povlsomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://primearea.biz/product/235093/

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 21 января 2021:

Сообщение >>

Расширение: нет

Файл: Рекомендательное письмо.exe

Результаты анализов: VT + IA

Вариант от 23 марта и позже: 

Сообщение >>

Самоназвание: M.0.A.B. Ransomware

Расширение: нет

Email: m0absupport@protonmail.ch

Результаты анализов: VT + VT

 

➤ Содержание текста: 

ACCESS DENIED!

REJECTED PORT: 8081

IP ADDRESS:

Your files can only be retrieved by entering the

correct password. Dont Worry This Isnt

Permanent. Well Maybe. Its Up To You. If your

files are important ti you we can Unlock Your

Files For $200.00 In order to get the password

please send a mail And Ask for The Bitcoin

Addres to m0absupport@protonmail.ch

Enter password:  DeCrypt

Вариант от 19 июня 2021: 

Сообщение >>

Самоназвание: ALPHA LOCKER

C:\Users\ALPHA_HACKER\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\Release\Povlsomware.pdb

Результаты анализов: VT + AR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34046

BitDefender -> Gen:Variant.MSILHeracles.7859

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX

Malwarebytes -> Ransom.Povlsomware

Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB

TrendMicro -> Ransom_CryptoLocker.R002C0DFI21

Вариант от 12 июля 2021: 

Сообщение >>

Email: no-reply@forgetit.com

Файл проекта: C:\Users\Alpha\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\x86\Release\Povlsomware.pdb

Код разблокировки: blahblah

Файл: Povlsomware.exe

Результаты анализов: VT

Вариант от 25 июля 2021:

Сообщение >>

C:\work\Povlsomware\Mishmash\obj\Debug\Mishmash.pdb

Код разблокировки: pass

Файл: Mishmash.exe

Результаты анализов: VT + IA

Вариант от 18 сентября 2021: 

Сообщение >>

Название в заголовке: Splash Ransomware

Email: medusalocker@protonmail.com

Код разблокировки: jara1234

Файл: Povlsomware.exe

Результаты анализов: VT

Вариант от 29 октября 2021: 

Сообщение >>

Самоназвание: CryptoLocker, CryptoCrazy 1.0 Ransomware

Email: dubai317898@gmail.com

Пароль: @7K#cN1P

Файл проекта: D:\Trabalho\Projeto_FInal\CriptLook_Todos\Povlsomware\obj\Debug\CryptoLocker.pdb

Файл EXE: CryptoLocker.exe

Результаты анализов: VT

MD5: 34b2aad3ab44ef46ecfe5c41f2dc2e9d

Вариант от 10 ноября 2021: 

Сообщение >>

Самоназвание: BloodFox

Обходит UAC, отключает средства безопасности и диспетчер задач в реестре. 

Расширение к зашифрованным файлам не добавляется. 

Email: noclue3636@dnmx.org

BTC: 1E8ywazpZT8UAi2ot6Se8YH5ipXZbuUJn7

Файл проекта: C:\Users\capde\Downloads\Povlsomware-2.0.0.4\Povlsomware-2.0.0.4\Povlsomware\obj\Debug\Priyte's Adventure C++.pdb

Пароль: 6HBB05VL

Файл: Priyte's Adventure C++.exe

Результаты анализов: VT + TG

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34499

BitDefender -> Gen:Heur.Ransom.RTH.1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX

Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Ransom.Hqvn

TrendMicro -> Ransom_CryptoLocker.R002C0DKA21

Вариант от 3 мая 2022:

Сообщение >>

Файл проекта: C:\Users\cubec\Desktop\AXO-LOCKERV2\AXO-LOCKER\AXO-LOCKER\obj\Debug\AXO-LOCKER.pdb

Файл: AXO-LOCKER.exe

Результаты анализов: VT + IA

Вариант от 1 июля 2022:

Сообщение >>

Файл проекта: C:\Users\minec\source\repos\RingMalware\RingMalware\obj\Release\RingMalware.pdb

Файл: RingMalware.exe

Результаты анализа: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.35529

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Povlsomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 dnwls0719
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlueEagle

BlueEagle Ransomware

Saher Blue Eagle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.812 BTC, чтобы вернуть файлы. Оригинальное название: Blue Eagle Ransomware. На файле написано: ransome.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32616
BitDefender -> Trojan.Ransom.BlueEagle.3
ESET-NOD32 -> A Variant Of MSIL/Kryptik.KXU
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Microsoft -> Backdoor:Win32/Bladabindi!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Lpvz
TrendMicro -> Ransom_Encoder.R002C0RLJ20
---

© Генеалогия: ??? >> BlueEagle

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: ..MaxSteel.Saher Blue Eagle

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Первая часть текста в экране блокировки

Вторая часть текста в экране блокировки

Изображение заменяющее обои

Вот как всё это выглядит вместе (см. скриншоты ниже). 

Содержание записки о выкупе: 

Blue Eagle Ransomware

-------------------------------

####### Saher Blue Eagle Ransomware #######

What Happened to my computer?

#######################################

Nothing happened , Just your computer has been hacked and then you see a [Ransomware] on your screen ,

you have been hacked by (Saher blue eagle products) User

this ransomware was coded by (Saher blue eagle)

So to sum up [All of your usable files have been encrypted safely].

#######################################

How do i set my files free ?

#######################################

You can use Decrypt in this Program,simply But it will ask you for a password ,

So to get the password you have to pay me at bitcoin and don~t close internet connection ,

because closing internet connection will lead you to lose Connection to AI ("Verci") because every PC has it's

own signature,

so if you don't follow the steps you will lose your files forever .

#######################################

How do I get password ?

#######################################

Just we told you

Step #1: Never Stop Internet connection

(you will be at risk) |

Step #2 : Pay Bitcoin (0.812) and the AI will send you the Password (Once you receive password Decrypt and reinstall new windows version).

Payment:

My Bitcoin: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS

File Extensions : .MaxSteel.Saher Blue Eagle

[Check for Payment]

[Decrypt my files]

Перевод записки на русский язык: 

Blue Eagle Ransomware

-------------------------------

####### Saher Blue Eagle Ransomware #######

Что случилось с моим компьютером?

#############################################################

Ничего не произошло. Ваш компьютер был взломан, и теперь вы видите на экране [Ransomware],

вы Пользователь были взломаны (Saher blue eagle продукты)

этот вымогатель закодировал (Saher blue eagle)

Итак, чтобы подвести итог [Все ваши файлы надежно зашифрованы].

#############################################################

Как освободить файлы?

#############################################################

Вы можете просто использовать Decrypt в этой программе, но она попросит вас ввести пароль,

Чтобы получить пароль, вы должны заплатить мне биткойны и не закрывать интернет-соединение,

т.к. закрытие интернет-соединения приведет к потере соединения с AI ("Verci"), т.к. у каждого ПК 

собственная подпись, поэтому, если вы не выполните эти шаги, вы потеряете свои файлы навсегда.

#############################################################

Как мне получить пароль?

#############################################################

Только что мы сказали вам

Шаг №1: никогда не закрывайте подключение к Интернету

(вы будете в опасности) |

Шаг № 2: Заплатите биткойн (0.812), и AI отправит вам пароль (когда получите пароль, расшифруйте и переустановите новую версию Windows).

Оплата:

Мой биткойн: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS

Расширения файлов: .MaxSteel.Saher Blue Eagle

[Check for Payment]

[Decrypt my files]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Завершает некоторые процессы с помощью команд:

taskkill /F /IM MSExchange 

taskkill /F /IM sqlserver.exe 

taskkill /F /IM mysqld.exe 

taskkill /F /IM explorer.exe 

taskkill /F /IM Microsoft.Exchange 

taskkill /F /IM sqlwriter.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа

Saher_Blue_Eagle_Ransomware.exe  - название вредоносного файла

ransome.exe - название вредоносного файла

Back.jpg - изображение заменяющее обои Рабочего стола

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\\Users\User\AppData\Roaming\Back.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 3A94A8A7fp2cWhP9JG1HArQKwLPFQ8DDwS
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Hades

Hades Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hades ransomware. Целевые системы: Windows x64. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской. 

---

👉 Ранее эту группу США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? 

---
Обнаружения:
DrWeb -> Trojan.Siggen13.3039
ALYac -> Trojan.Ransom.Hades
BitDefender -> Trojan.GenericKD.36700209
ESET-NOD32 -> Win64/Filecoder.Conti.B
Kaspersky -> Trojan-Ransom.Win32.Crypmodng.fu
Malwarebytes -> Malware.AI.2000420884
Microsoft -> Trojan:Win64/CryptInject!MSR
Symantec -> Downloader
TrendMicro -> TROJ_FRS.0NA103DF21
---

© Генеалогия: WastedLocker (Phoenix Cryptolocker) >> Hades

Изображение — логотип статьи

К зашифрованным файлам добавляется случайное расширение: .xxxxx

Например: .rh94k

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW-TO-DECRYPT-xxxxx.txt

Содержание записки о выкупе: 

��[+] What happened? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension *.rh94k

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant get back your data (NEVER).

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.

To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.

[+] How to get access on website? [+]

Using a TOR browser!

  - Download and install TOR browser from this site: hxxps://torproject.org/

  - Open our website: xxxx://ixltdyumdlthrtgx.onion

  - Follow the on-screen instructions

Extension name:

*.xxxxx

-----------------------------------------------------------------------------------------

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) will make everything possible for restoring, but please do not interfere.

!!! !!! !!!

Перевод записки на русский язык:

�� [+] Что случилось? [+]

Ваши файлы зашифрованы и сейчас недоступны. Вы можете это проверить: все файлы на вашем компьютере имеют расширение *.rh94k

Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии? [+]

Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать. Это не в наших интересах.

Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.

[+] Как получить доступ на сайт? [+]

Используя браузер TOR!

  - Загрузите и установите браузер TOR с этого сайта: xxxxs: //torproject.org/

  - Откройте наш сайт: xxxx://ixltdyumdlthrtgx.onion

  - Следуйте инструкциям на экране.

Имя расширения:

* .xxxxx

-------------------------------------------------- ---------------------------------------

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменять файлы сами, НЕ используйте какую-либо стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.

!!! !!! !!!

ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) сделаем все возможное для восстановления, но просим не мешать.

!!! !!! !!!

---

Скриншот с Tor-сайта, названного в тексте записки: 

Содержание текста на Tor-сайте: 

Hades ransomware.

Contact Us

We have hacked your network, downloaded and encrypted your data.

You can recover your data and prevent data leakage to the public.

For further details contact us via TOX messenger:

2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79

Copyright © Hades 

Перевод текста на русский язык: 

Hades ransomware.

Контакт с нами

Мы взломали вашу сеть, скачали и зашифровали ваши данные.

Вы можете вернуть свои данные и не дать утечь данным в открытый доступ.

Для информации напишите нам в мессенджере TOX:

2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79

Copyright © Hades 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Большая часть функций взята у WastedLocker, кроме того: статическая конфигурация, основанная на ISFB, многоэтапный процесс сохранения, установки, перечисление файлов, каталогов и функции шифрования.

➤ Удаляет теневые копии файлов. Самоудаляется после шифрования. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-DECRYPT-xxxxx.txt - название файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 5lyi3c7x3ioakru4.onion

Tor-URL: ixltdyumdlthrtgx.onion

Скриншоты с сайтов: 

 

TOX messenger: 2F5338DABD40348C71D858459FE7B8ED60DDD9CE4D260C656E4E236A91167C31165081A85F79

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 15 декабря 2020:

Статья на сайте BleepingComputer >>

Транспортная и логистическая компания Forward Air подверглась атаке со стороны Hades Ransomware, которая повлияла на бизнес-операции компании.

Сообщение от 25 марта 2021:

Статья на сайте BleepingComputer >>

Evil Corp перешла на Hades Ransomware, чтобы избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов (OFAC).

Сообщение от 15 июня 2021: 

Статья на сайт Secureworks.com >>

Финансово мотивированная группа, использующая вымогатель Hades, известна как GOLD WINTER. Отсутствие Hades на подпольных форумах и торговых площадках говорит о том, что он работает как частный вымогатель, а не как RaaS. 

Вариант от 15 декабря 2021: 

Выдают себя за REvil. 

Сообщение >>

Расширение: .revil

Записка: revil.read.txt

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Hades)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CoderCrypt

CoderCrypt Ransomware

CoderWare Mobile Ransomware

FakeCyberPunk2077 Ransomware

(шифровальщик-вымогатель для Android) (первоисточник)

Translation into English

Этот крипто-вымогатель для Android-устройств шифрует данные пользователей с помощью RC4, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: CoderCrypt, CoderWare. Распространяется с поддельного веб-сайта, имитирующего Google Play Store, маскируясь под под файл игры Cyberpunk2077. На файле написано: CyberPunk2077Mobile.apk. 
---
Обнаружения:
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.bs

Avira (no cloud) -> ANDROID/Ransom.FileCoder.emtnz

DrWeb -> Android.Encoder.12
ESET-NOD32 -> Android/Filecoder.I
Microsoft -> Ransom:AndroidOS/CdrCrypt.A!MTB
Symantec -> Trojan.Gen.2

Symantec Mobile Insight -> AdLibrary:Generisk

Qihoo-360 -> Trojan.Android.Gen
---

© Генеалогия: BlackKingdom (CoderWare) >> CoderCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coderCrypt
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

hey Down! Seems like you got hit by CoderWare !

warning: take a screenshot of this place. If you lose the information here, you'll never get to us. and it would be impossible to get your dosys

Don't Panic, you get have your files back!

CoderWare uses a basic encryption script to lock your files.This type of  is known as CRYPTO.

You'll need a decryption key in order to unlock your files.

Your files will be deleted when the timer runs out, so you better http://hurry.You have 10 hours to find your key

When you pay >>> 500$  <<< to the Bitcoin address below, 

you will need to send a single as proof to our e-mail address, 

and if the receipt is correct, your code to decrypt our files to your e-mail address. It will be sent back to you via e-mail.  

But you have to be quick for that. Because you have 24 hours. If you do not pay within 10 hours, your files will be permanently deleted.

And it would be out of reach again. If you don't know how to get bitcoin. 

https://buy.moonpay.io

can quickly get your credit or debit card online from the website.

Please type the bitcoin address shown on the screen in the wallet field on the website. If you try to shut it down by force, 

you'll lose your files. because if you lose your bitcoin address,

you won't be able to pay. and you'll never get your files back.

If you delete the application, it will be impossible to access your files.

 email: alrescodercry@protonmail.com

bitcoin Adress : 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K

telegram : 

@Codersan

Перевод записки на русский язык:

привет, Даун! Похоже, тебя ударил CoderWare!

важно: сделай скриншот этого места. Если ты потеряешь инфу отсюда, то никогда не попадешь к нам. и не получишь свои доки

Не паникуй, ты вернешь свои файлы!

CoderWare использует базовый скрипт шифрования для блокировки ваших файлов, этот тип известен как CRYPTO.

Для разблокировки файлов тебе нужен ключ дешифрования.

Твои файлы будут удалены когда таймер обнулится, так что торопись. У тебя 10 часов, чтобы найти свой ключ

Когда ты платишь >>> 500$  <<< на биткойн-адрес ниже, нужно отправить копию на наш email-адрес, и, если квитанция верна, твой код для расшифровки файлов на твой email-адрес. Он будет переправлен тебе по email.

Но для этого нужно действовать быстро. Потому что у тебя 24 часа. Если ты не заплатишь за 10 часов, твои файлы будут удалены без возможности восстановления.

И это снова будет вне досягаемости. Если ты не знаешь, как получить биткойн. https://buy.moonpay.io

можешь быстро получить свою кредитную или дебетовую карту онлайн на веб-сайте.

Пожалуйста, введи биткойн-адрес, показанный на экране, в поле кошелька на веб-сайте. Если ты захочешь выключить его силой, ты потеряешь свои файлы. потому что, если ты потеряешь свой биткойн-адрес, ты не сможешь заплатить. и ты никогда не получишь свои файлы обратно.

Если ты удалишь приложение, доступ к твоим файлам будет невозможен.

email: alrescodercry@protonmail.com

Биткойн Адрес: 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K

Telegram: @Codersan

Технические детали

Распространяется с поддельного веб-сайта, имитирующего Google Play Store, маскируясь под файл популярной игры Cyberpunk2077. Скопировано и подделано описание от реальной игры, для демонстрации используются оригинальные игровые кадры.  

 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Подробности по шифрованию и дешифрованию:

Для шифрования используется алгоритм RC4 с жестко запрограммированным ключом "21983453453435435738912738921" (в изученном образце). Это значит, что файлы с помощью этого ключа можно расшифровать, не заплатив выкуп. Сообщение Татьяны Шишковой >>

Список файловых расширений, подвергающихся шифрованию:
Это документы, текстовые файлы, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
CyberPunk2077Mobile.apk - название вредоносного файла

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://cyberpunk2077mobile.com

Email: alrescodercry@protonmail.com
BTC: 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K

Telegram: @Codersan

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеется версия для ОС Windows. 

См. в составе статьи BlackKingdom Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC

 Thanks: 
 Tatyana Shishkova, Arkbird, Sh33tos
 Andrew Ivanov (article author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.