DrWeb -> Trojan.Encoder.34027
ALYac -> Trojan.Ransom.GarrantyDecrypt
Avira (no cloud) -> TR/AD.RansomHeur.hmjvc
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLASSIC)
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_GarrantDecrypt.R002C0DFG21
Вариант от 10 августа 2021:
Расширение: .herrco
Цель атаки: HERRCO
Записка: How to decrypt files.txt
Результаты анализов: IOC:
VT, IA, TGMD5: af8c28577e447bb43f80cc81c518d146
SHA-1: 206f2335b0d7e42553bac9841e67b7f3c8e2d645
SHA-256: 415321444d2ab732e84ff7acb4739e09827ee2fcc748d0fa1d7504bae1d133a3
Vhash: 015056655d155510f8z73hz2075zabz
Imphash: c8318053dac1b12c686403fde752954c
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34027
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Malwarebytes -> Malware.AI.140777825
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Lqfc
TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM
Вариант от 26 октября 2021:
Расширение: .mallox
Записка: RECOVERY INFORMATION.txt
Email: israel@mailfence.com, mallox@tutanota.com
Файлы: ConsoleApp2.exe, AdvancedRun.exe
Результаты анализов: IOC:
VT, IA, ARMD5: 315aaf1f0128e50999fd5b82949a9267
SHA-1: cf16a16a1865d444da3a9636cdc176fcc5b6c758
SHA-256: e5f20c03da31983648fca8c76f9be565e7d2fb13e2c5bc85da012d72e81dbf1c
Vhash: 23503675551140133811030
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
➤ Обнаружения:
BitDefender -> IL:Trojan.MSILZilla.13190
DrWeb -> Trojan.Loader.892
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ADHJ
Microsoft -> Trojan:MSIL/AgentTesla.KA!MTB
Symantec -> MSIL.Packed.9
Tencent -> Win32.Trojan.Ransom.Ctho
TrendMicro -> TROJ_GEN.R02CC0DJT21
Вариант от 27 ноября 2021:
Цель атаки: BRG
Расширение: .brg
Файл: 79wnbm97b.dll
Tor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/*
Результаты анализов: IOC:
VT + TG + IAMD5: 99e949ddd57dbc19457eba5f235516f3
SHA-1: 99f9270e85ec53b8dada459279d30e8b169462c1
SHA-256: e351d4a21e6f455c6fca41ed4c410c045b136fa47d40d4f2669416ee2574124b
Vhash: 015056655d155510f8z73hz2075zabz
Imphash: c8318053dac1b12c686403fde752954c
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34027
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLOUD)
Symantec -> Ransom.CryptoTorLocker
Tencent -> Win32.Trojan.Filecoder.Hxgj
TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM
Вариант от 16 декабря 2021:
Цель атаки: Architek
Расширение: .architek
Записки: How to decrypt files.txt
Файл: share.exe
Результаты анализов: IOC:
VT MD5: 2acb21c02b38dad982d78ebff7cfa2d3
SHA-1: 75543627f8f2ab0c85228372a0eca6928ee84b7d
SHA-256: af723e236d982ceb9ca63521b80d3bee487319655c30285a078e8b529431c46e
Vhash: 015056655d155510f8z731z2dz2075za1z17z
Imphash: 23aaf53347d1ff573792bd5165932149
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34933
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLOUD)
TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM
=== 2022 ===
Вариант от 5 января 2021:
Расширение: .mallox
Записка: RECOVERY INFORMATION.txt
Email: recohelper@cock.li, mallox@tutanota.com
Файл: hbatka.exe
Результаты анализов: IOC:
VT + IA + TGMD5: a765dbcbac57a712e2eb748fe6fd5e7c
SHA-1: 59c51f9d5f699b6aa6b3e37fcd93da87ce79d815
SHA-256: 7e6cd2bf820d81c9389c549cfe482bcdb1b57c5f39d53b63cd1efb79699e7ae6
Vhash: 2740365555111083340010
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
➤ Обнаружения:
BitDefender -> Trojan.GenericKD.38452928
DrWeb -> Trojan.Siggen16.26133
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.JXX
Malwarebytes -> Ransom.Mallox
Microsoft -> TrojanDownloader:MSIL/MalloxAgent!MTB
Symantec -> MSIL.Downloader!gen7
Tencent -> Msil.Trojan-downloader.Agent.Lmkj
TrendMicro -> TROJ_FRS.0NA103A622
Вариант от 25 января 2022:
Расширение: .exploit
Записка: RECOVERY INFORMATION.txt
Email: newexploit@tutanota.com
Результаты анализов:
VT + TG + IAMD5: 1f6297d8f742cb578bfa59735120326b
SHA-1: ff6eca213cad5c2a139fc0dc0dc6a8e6d3df7b17
SHA-256: 3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673
Vhash: 015056655d15551138z771z2dz2065za1z17z
Imphash: 1c1a27cb29df6923d860b330c9f7a54f
➤ Обнаружения:
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
DrWeb -> Trojan.MulDrop19.15312
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC
Malwarebytes -> Ransom.FileLocker
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Eaxm
TrendMicro -> Ransom.Win32.NEWEXPLOIT.THBOBBB
Вариант от 14 февраля 2022:
Расширение: .carone
Записка: How to decrypt files.txt
Tor-URL: hxxx://jnjorcburoayrwfrmnq3czngju76wdjyuyufqaep6joutvidohuh24ad.onion/contact
Результаты анализов: IOC:
VT +
TGMD5: ed2fd6050340ecc464621137c7add3ad
SHA-1: 07adc67a3c72e76127ced9c0d72cea32b40d5c55
SHA-256: 53d606ea6cea8fba9ca4fdd1af411c1212ad20678cd22a43697c4b8e9b371f62
Vhash: 015056655d155510f8z731z2dz2075za1z17z
Imphash: 23aaf53347d1ff573792bd5165932149
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34933
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Akyx
TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM
Вариант от 20 февраля 2022:
Расширение: .avast
Записка: RECOVERY INFORMATION.txt
Email: mallox@tutanota.com, recohelper@cock.li
Результаты анализов:
VT + AR
Вариант от 23 февраля 2022:
Расширение: .consultransom
Записка: RECOVERY INFORMATION.txt
Email: consultransom@tutanota.com
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
CONTACT US:
consultransom@tutanota.com
consultransom@protonmail.com
YOUR PERSONAL ID: ***
---
Результаты анализов: IOC:
VT + IA + TGMD5: 8e4fa69d87a6d3c6d7e6c699b25cc2ab
SHA-1: e5981cfe6ded85b01b10f4b2a5fc2f8537a63b31
SHA-256: 6a0d713e89b61a8709f8d55e19631ec31370d87880a478704609eee78ccd3c18
Vhash: 015056655d15556138z72z2dz2061z11za1z17z
Imphash: 7d1a1ba7b3fa066ca05e323a7d526151
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34991
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Eckt
TrendMicro -> Ransom_GarrantDecrypt.R002C0DBN22
Вариант от 7 марта 2022:
Расширение: .devicZz
Записки: HOW TO RECOVER.TXT, RECOVERY INFORMATION
Email: deviceZz@mailfence.com
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
CONTACT US:
deviceZz@mailfence.com
YOUR PERSONAL ID: ***
Вариант от 7 мая 2022:
Расширение: .acookies
Записка: RECOVERY INFORMATION.txt
Email: acookies@tutanota.com, acookies@onionmail.org
Вариант от 17 мая 2022:
Расширение: .bozon3
Записка: RECOVERY INFORMATION.txt
Email: mallox@stealthypost.net, recohelper@cock.li
Вариант от 22 июня 2022 или раньше:
Расширение: .FARGO
Записка: FILE RECOVERY.txt
Email: mallox@tutanota.com, recohelper@cock.li
Результаты анализа:
VT + IAОбнаружения:
DrWeb -> Trojan.Encoder.35480
BitDefender -> Generic.Malware.2g.5A4C2FA8
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC
Вариант от 12 ноября 2022:
Расширение: .milovski-G-********
Записка: RECOVERY INFORMATION !!!.txt
Email: milovski@tutanota.com
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
5.Your key is only kept for seven days beyond which it will never be decrypted!
6.Do not rename, do not use third-party software or the data will be permanently damaged!
7.Do not run any programs after the computer is encrypted. It may cause program damage!
8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!
CONTACT US:
milovski@tutanota.com
If no response is received within 12 hours contact: milovski@onionmail.org
ID:********
=== 2023 ===
Вариант от 11 января 2023 (возможно был в октябре 2022):
Расширение: .FARGO3
Записка: RECOVERY FILES.txt
Email: mallox@stealthypost.net, recohelper@cock.li
Вариант от 27 февраля или раньше:
Расширение: .mawahelper
Записка: RECOVERY INFORMATION !!!.txt
Email: mawahelper@tutanota.com, mawahelper@onionmail.com
Вариант от 21 апреля 2023:
Расширение: .brocamel
Цель: BroCamel
Записка: How to decrypt files.txt
Tor-URL: hxxx://hye34tlszbt562z34d4k36eia2vq5tnhhd3mimrt5n5cdovbqnan3myd.onion
Список вариантов от rivitna:
github.com/rivitna/Malware/blob/main/Mallox/MallabDecryptorEx/Supported_samples.txt