ProcessTray

ProcessTray Ransomware

ProcessTray Cover-Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем даже не  требует выкуп, чтобы вернуть файлы, возможно, из-за ошибке в программе. Оригинальное название: нигде не указано. На файле написано: ProcessTray.exe, Tray.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34047
BitDefender -> Trojan.GenericKD.46515234
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJL
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Genasom
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WFL21
---

© Генеалогия: ??? >> ProcessTray

Сайт "ID Ransomware" это пока не идентифицирует.

Информация для идентификации

Образец  этого крипто-вымогателя был найден в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам должно было добавиться некое расширение, но в изученном образце этого не произошло из-за ошибки в программе. Другой образец не был предоставлен. 

Записка с требованием выкупа также не была оставлена. Возможно в более новых образцах мы что-то из этого увидим. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется для скрытой установки майнера криптовалюты XMRig. Это высокопроизводительный кроссплатформенный майнер CPU/GPU с открытым исходным кодом. 

Установка майнера нужна для того, чтобы максимизировать выгоду с каждой зараженной машины. Порядок установки примерно такой: пользователь ставит некую программу, в которой есть троянец, который загружает и устанавливает шифровальщик, а под его прикрытием загружается и ставится майнер XMRig для майнинга криптовалюты Monero. Такой шифровальщик нужен только для прикрытия, поэтому он и называется Cover-Ransomware. В результате атаки, когда пользователь ещё только читает записку с требованиями выкупа, его компьютер уже приносит злоумышленникам деньги. Обычно такой шифровальщик легко обнаруживается антивирусной защитой и удаляется, а майнер остаётся. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
ProcessTray.exe, Tray.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
XMR: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6585cb51ff21007fb9ef936e96c58982

SHA-1: 7a3d5563460b9935fe84879ee14fabfc7c664825

SHA-256: e07b0cd7eca5bc70b07ea786c3ef4da28036c901effa2193a93caf945cb2b334

Vhash: 23503655651170878d2020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Skystars
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CovidLocker

CovidLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha и AES + RSA для ключа, а затем требует написать на email вымогателей, чтобы узнать, как заплатить за RSA-ключ и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: locker.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop17.55683
ALYac -> Trojan.Ransom.MedusaLocker
Avira (no cloud) -> TR/Ransom.ocbak
BitDefender -> Trojan.GenericKD.46513684
ESET-NOD32 -> A Variant Of Win32/Filecoder.MedusaLocker.C
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Ransom.Medusa
Microsoft -> Ransom:Win32/MedusaLocker.MK!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_MedusaLocker.R002C0DFI21
---

© Генеалогия: ✂ MedusaLocker >> CovidLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .covid

В процеесе шифрования сначала используется расширение .inprocess, а потом оно меняется на .covid

Пример: 

BOOTNXT.inprocess -> BOOTNXT.covid

Записка с требованием выкупа называется: How_To_Recover.mht

Содержание записки о выкупе:

##################################################

##################################################

DONT WORRY! YOUR FILES ARE SAFE! ONLY MODIFIED :: ChaCha + AES

WE STRONGLY RECOMMEND you NOT to use any Decryption Tools.

These tools can damage your data, making recover IMPOSSIBLE.

Also we recommend you not to contact data recovery companies.

They will just contact us, buy the key and sell it to you at a higher price.

If you want to decrypt your files, you have to get RSA private key.

--

To get RSA private key you have to contact us via email to: undelivered@onet.pl

and send us your id: 2374052***

--

HOW to understand that we are NOT scammers?

You can ask SUPPORT for the TEST-decryption for ONE file!

Перевод записки на русский язык:

##################################################

##################################################

НЕ ВОЛНУЙТЕСЬ! ВАШИ ФАЙЛЫ В БЕЗОПАСНОСТИ! ТОЛЬКО ИЗМЕНЕНЫ :: ChaCha + AES

ОЧЕНЬ РЕКОМЕНДУЕМ НЕ использовать какие-либо инструменты дешифрования.

Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.

Также рекомендуем не связываться с компаниями по восстановлению.

Они напишут нам, купят ключ и продадут его вам по высокой цене.

Если вы хотите расшифровать свои файлы, вам нужно получить закрытый RSA-ключ.

-

Чтобы получить закрытый RSA-ключ, вам надо написать нам на email: undelivered@onet.pl

и прислать нам свой id: 2374052***

-

КАК понять, что мы НЕ мошенники?

Вы можете запросить у ПОДДЕРЖКИ ТЕСТ-расшифровку ОДНОГО файла!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов. 

➤ Использует упаковщик ASPack v2.12. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_To_Recover.mht - название файла с требованием выкупа;

KEY.FILE - специальный файл;
locker.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: undelivered@onet.pl
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 59a11294cc1496126fcd9af1a3371d0b

SHA-1: 68af606a3befec2e42564c9d4015d97c33fbfab9

SHA-256: 2a19c30b45f7d6c70ee5ed2229205587ec7ac00f6c5d3c3b2007989ed45e8a91

Vhash: 02507f7d7d6d1d7f6f0013z13z31z15z15z1bz17z

Imphash: 75954093c7d1f70253ac02c7616c0f9a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Poteston

Poteston Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Poteston Ransomware. На файле написано: Windows Session Manager.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34040
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1141806
BitDefender -> Trojan.GenericKD.46508026
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0WFK21
---

© Генеалогия: ??? >> Poteston

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Poteston

Записка с требованием выкупа называется: readme.txt 

Содержание записки о выкупе:

All of your files such as Document, photos ,Databases, etc... has been successfully encrypted! are encrypted by Poteston Ransomware   

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

and files should not contain valuable information (databases, backups, large excel sheets, etc.).

After payment we will send you the decryption tool that will decrypt all your files.

Contact us using this email address: recovery_Potes@firemail.de

Attention! 

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it

Your personal ID : 71e4g05Zbhuc+s2SSHGlHHWR [total 172 characters]

Перевод записки на русский язык:

Все ваши файлы, такие как документы, фотографии, базы данных и т. д., были успешно зашифрованы! зашифрованы Poteston Ransomware

Какие гарантии мы вам даем?

Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.

а файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.).

После оплаты мы вышлем вам расшифровку, которая расшифрует все ваши файлы.

Контакт с нами, используя этот email адрес: recovery_Potes@firemail.de

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это Ваш личный ID:

: 71e4g05Zbhuc+s2SSHGlHHWR [всего 172 символа]

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавлется в Автозагрузку системы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\Desktop\Windows Session Manager.exe

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery_Potes@firemail.de
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR

MD5: 6736b48ac9b71f21d8e41d5a1f27a0a6

SHA-1: 45eb63e779cb9f33209b29a175199a9048bd9035

SHA-256: 5ad38d579fb249b3326a25cffb6f5ffea11b125cda7b61205893432f59a02101

Vhash: 22505f7665151614409e2591050

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TargetCompany

TargetCompany Ransomware

Target_Company Ransomware

"Tohnichi" Ransomware

NextGen: Mallox, Brg, Exploit, Avast, Fargo, xollam, bitenc, malox, maloxx, mallab, et al

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью  комбинации алгоритмов ChaCha20, AES-128, Curve25519, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: local.exe. Используется CryptGenRandom для генерации ключа шифрования. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34027
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> Ransom.Outsider!1.D74B (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wrqd
TrendMicro -> Ransom_GarrantDecrypt.R002C0DFG21
---

© Генеалогия: предыдущие (GarrantDecrypt, Outsider) > TargetCompany

Сайт "ID Ransomware" идентифицирует это как TargetCompany.

Информация для идентификации

Активность раннего варианта этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 

.<target_company>

.<target_pc>

.<known_name>

.<known_word>

.mallox с вариантами

и прочие. 

В расширении может быть скрыто название атакованной компании или название атакованного компьютера. Позже вымогатели стали использовать любое известное название, чтобы сбить с толку и запутать пострадавшего и того, кто будет анализировать случай. 

Пример такого расширения: у файлов атакованной компании "Tohnichi" было расширение: .tohnichi

Записка с требованием выкупа называется: How to decrypt files.txt

Содержание записки о выкупе:

Your personal identifier: 07B8AC198***

All files on TOHNICHI network have been encrypted due to insufficient security.

The only way to quickly and reliably regain access to your files is to contact us.

The price depends on how fast you write to us.

In other cases, you risk losing your time and access to data. Usually time is much more valuable than money.

FAQ

Q: How to contact us

A: * Download Tor Browser - https://www.torproject.org/

   * Open link in Tor Browser http://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact

   * Follow the instructions on the website.

Q: What guarantees? 

A: Before paying, we can decrypt several of your test files. Files should not contain valuable information.

Q: Can I decrypt my data for free or through intermediaries?

A: Use third party programs and intermediaries at your own risk. Third party software may cause permanent data loss. 

   Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam. 

Перевод записки на русский язык:

Ваш персональный идентификатор: 07B8AC198 ***

Все файлы в сети TOHNICHI зашифрованы из-за недостаточной безопасности.

Единственный способ быстро и надежно восстановить доступ к вашим файлам - это связаться с нами.

Цена зависит от того, как быстро вы нам напишите.

В других случаях вы рискуете потерять время и доступ к данным. Обычно время гораздо дороже денег.

FAQ

В: Как с нами связаться

О: * Загрузите браузер Tor - https://www.torproject.org/

* Откройте ссылку в браузере Tor 

http://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact

* Следуйте инструкциям на сайте.

В: Какие гарантии?

О: Перед оплатой мы можем расшифровать несколько ваших тест-файлов. Файлы не должны содержать ценной информации.

В: Могу ли я расшифровать свои данные бесплатно или через посредников?

О: Используйте сторонние программы и посредников на свой страх и риск. Программы сторонних производителей могут привести к потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию или вы можете стать жертвой мошенничества.

Пострадавшая компания, посетив URL вымогателей, должна указать ID из записки и свой контактный email для получения письма от вымогателей. 

Короткое сообщение на сайте:

Your company's files have been encrypted!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin.exe  delete shadows /all /quiet

bcdedit  /set {current} bootstatuspolicy ignoreallfailures

bcdedit  /set {current} recoveryenabled no

По завершении шифрования самоудаляется. 

Вырубает следующие процессы:  

fdhost.exe, fdlauncher.exe, MsDtsSrvr.exe, msmdsrv.exe, mysql.exe, ntdbsmgr.exe, oracle.exe, ReportingServecesService.exe, sqlserv.exe, sqlservr.exe, sqlwrite, и другие, которые могут помешать шифрованию файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключений-1:

.386, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .ico, .key, .ldf, .lnk, .msc, .msi, .msp, .nls, .ocx, .prf, .scr, .shs, .spl, .sys, .wpx 

Список исключений-2:

.386, .adv, .ani, .bat, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcfg, .diagpkg, .diangcab, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx

Список пропускаемых директорий: 

$windows.~bt, $windows.~ws, appdata, application data, Assemblies, boot, boot, Common Files, Core Runtime, google, intel, Internet Explorer, Microsoft Analysis Services, Microsoft ASP.NET, Microsoft Help Viewer, Microsoft MPI, Microsoft Security Client, Microsoft Security Client, Microsoft.NET, mozilla, msocache, Package, Package Store, perflogs, programdata, Reference, system volume information, tor browser, Windows, Windows Defender, Windows Kits, Windows Mail, Windows NT, Windows Photo Viewer, Windows Portable Devices, Windows Sidebar, Windows Store, windows.old, WindowsPowerShell

Файлы, связанные с этим Ransomware:
How to decrypt files.txt - название файла с требованием выкупа;

local.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open\command rundll32.exe

Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open\command\ = "%SystemRoot%\\system32\\NOTEPAD.EXE %1" rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_Classes\Local Settings rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\.tohnichi rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit\command rundll32.exe

Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\.tohnichi\ = "tohnichi_auto_file" rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_Classes\Local Settings rundll32.exe

Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\ rundll32.exe

Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit\command\ = "%SystemRoot%\\system32\\NOTEPAD.EXE %1" rundll32.exe

Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open rundll32.exe

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d687eb9fea18e6836bd572b2d180b144

SHA-1: 0e7f076d59ab24ab04200415cb35037c619d0bae

SHA-256: 863e4557e550dd89e5ca0e43c57a3fc1889145c76ec9787e97f76e959fc8e1e1

Vhash: 015056655d155510f8z73hz2075zabz

Imphash: c8318053dac1b12c686403fde752954c

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 июля 2021: 

Сообщение >>

Расшиение: .artiis

Цель атаки: Artiis

Записка: HOW TO RECOVER !!.TXT

Текст в записке отличается только названием пострадашей компании:

***

All files on A.R.T.I.S network have been encrypted due to insufficient security.

***

Tor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact

Файл: local.exe

Результаты анализов: IOC: VT, IA

MD5: 1438557a2ce68d12cbd540d3d256c583

SHA-1: 7edf16629b924e3f479ea0e82e91a32c54706489

SHA-256: 63fd08783dd07959fbdaadc26058a3b7e29c1c7053b570989be352db9b541f36

Vhash: 015056655d155510f8z73hz2075zabz

Imphash: c8318053dac1b12c686403fde752954c

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34027

ALYac -> Trojan.Ransom.GarrantyDecrypt

Avira (no cloud) -> TR/AD.RansomHeur.hmjvc

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLASSIC)

Symantec -> Trojan.Gen.2

TrendMicro -> Ransom_GarrantDecrypt.R002C0DFG21

Вариант от 10 августа 2021:

Сообщение >>

Расширение: .herrco 

Цель атаки: HERRCO

Записка: How to decrypt files.txt

Результаты анализов: IOC: VT, IA, TG

MD5: af8c28577e447bb43f80cc81c518d146

SHA-1: 206f2335b0d7e42553bac9841e67b7f3c8e2d645

SHA-256: 415321444d2ab732e84ff7acb4739e09827ee2fcc748d0fa1d7504bae1d133a3

Vhash: 015056655d155510f8z73hz2075zabz

Imphash: c8318053dac1b12c686403fde752954c

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34027

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO

Malwarebytes -> Malware.AI.140777825

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLASSIC)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Lqfc

TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM

Вариант от 26 октября 2021:

Сообщение >>

Расширение: .mallox

Записка: RECOVERY INFORMATION.txt

Email: israel@mailfence.com, mallox@tutanota.com

Файлы: ConsoleApp2.exe, AdvancedRun.exe

Результаты анализов: IOC: VT, IA, AR

MD5: 315aaf1f0128e50999fd5b82949a9267

SHA-1: cf16a16a1865d444da3a9636cdc176fcc5b6c758

SHA-256: e5f20c03da31983648fca8c76f9be565e7d2fb13e2c5bc85da012d72e81dbf1c

Vhash: 23503675551140133811030

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

➤ Обнаружения:

BitDefender -> IL:Trojan.MSILZilla.13190

DrWeb -> Trojan.Loader.892

ESET-NOD32 -> A Variant Of MSIL/Kryptik.ADHJ

Microsoft -> Trojan:MSIL/AgentTesla.KA!MTB

Symantec -> MSIL.Packed.9

Tencent -> Win32.Trojan.Ransom.Ctho

TrendMicro -> TROJ_GEN.R02CC0DJT21

Вариант от 27 ноября 2021:

Сообщение >>

Цель атаки: BRG

Расширение: .brg

Файл: 79wnbm97b.dll

Tor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/*

Результаты анализов: IOC: VT + TG + IA

MD5: 99e949ddd57dbc19457eba5f235516f3

SHA-1: 99f9270e85ec53b8dada459279d30e8b169462c1

SHA-256: e351d4a21e6f455c6fca41ed4c410c045b136fa47d40d4f2669416ee2574124b

Vhash: 015056655d155510f8z73hz2075zabz

Imphash: c8318053dac1b12c686403fde752954c

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34027

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLOUD)

Symantec -> Ransom.CryptoTorLocker

Tencent -> Win32.Trojan.Filecoder.Hxgj

TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM

Вариант от 16 декабря 2021: 

Цель атаки: Architek

Расширение: .architek

Записки: How to decrypt files.txt

Файл: share.exe

Результаты анализов: IOC: VT 

MD5: 2acb21c02b38dad982d78ebff7cfa2d3

SHA-1: 75543627f8f2ab0c85228372a0eca6928ee84b7d

SHA-256: af723e236d982ceb9ca63521b80d3bee487319655c30285a078e8b529431c46e

Vhash: 015056655d155510f8z731z2dz2075za1z17z

Imphash: 23aaf53347d1ff573792bd5165932149

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34933

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLOUD)

TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM

=== 2022 ===

Вариант от 5 января 2021:

Сообщение >>

Расширение: .mallox

Записка: RECOVERY INFORMATION.txt

Email: recohelper@cock.li, mallox@tutanota.com

Файл: hbatka.exe

Результаты анализов: IOC: VT + IA + TG

MD5: a765dbcbac57a712e2eb748fe6fd5e7c

SHA-1: 59c51f9d5f699b6aa6b3e37fcd93da87ce79d815

SHA-256: 7e6cd2bf820d81c9389c549cfe482bcdb1b57c5f39d53b63cd1efb79699e7ae6

Vhash: 2740365555111083340010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

➤ Обнаружения:

BitDefender -> Trojan.GenericKD.38452928

DrWeb -> Trojan.Siggen16.26133

ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.JXX

Malwarebytes -> Ransom.Mallox

Microsoft -> TrojanDownloader:MSIL/MalloxAgent!MTB

Symantec -> MSIL.Downloader!gen7

Tencent -> Msil.Trojan-downloader.Agent.Lmkj

TrendMicro -> TROJ_FRS.0NA103A622 

Вариант от 25 января 2022:

Сообщение >>

Расширение: .exploit

Записка: RECOVERY INFORMATION.txt

Email: newexploit@tutanota.com

Результаты анализов: VT + TG + IA

MD5: 1f6297d8f742cb578bfa59735120326b

SHA-1: ff6eca213cad5c2a139fc0dc0dc6a8e6d3df7b17

SHA-256: 3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673

Vhash: 015056655d15551138z771z2dz2065za1z17z

Imphash: 1c1a27cb29df6923d860b330c9f7a54f

➤ Обнаружения: 

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

DrWeb -> Trojan.MulDrop19.15312

ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC

Malwarebytes -> Ransom.FileLocker

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLOUD)

Symantec -> Downloader

Tencent -> Win32.Trojan.Filecoder.Eaxm

TrendMicro -> Ransom.Win32.NEWEXPLOIT.THBOBBB

Вариант от 14 февраля 2022: 

Сообщение >>

Расширение: .carone

Записка: How to decrypt files.txt

Tor-URL: hxxx://jnjorcburoayrwfrmnq3czngju76wdjyuyufqaep6joutvidohuh24ad.onion/contact

Результаты анализов: IOC: VT + TG

MD5: ed2fd6050340ecc464621137c7add3ad

SHA-1: 07adc67a3c72e76127ced9c0d72cea32b40d5c55

SHA-256: 53d606ea6cea8fba9ca4fdd1af411c1212ad20678cd22a43697c4b8e9b371f62

Vhash: 015056655d155510f8z731z2dz2075za1z17z

Imphash: 23aaf53347d1ff573792bd5165932149 

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34933

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OHO

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLOUD)

Tencent -> Win32.Trojan.Filecoder.Akyx

TrendMicro -> Ransom.Win32.GARRANTDECRYPT.SM

Вариант от 20 февраля 2022:

Сообщение на форуме >>

Расширение: .avast

Записка: RECOVERY INFORMATION.txt

Email: mallox@tutanota.com, recohelper@cock.li 

Результаты анализов: VT + AR

Вариант от 23 февраля 2022:

Сообщение >> 

Расширение: .consultransom

Записка: RECOVERY INFORMATION.txt

Email: consultransom@tutanota.com

➤ Содержание записки: 

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 

4.We can decrypt few files in quality the evidence that we have the decoder.

CONTACT US:

consultransom@tutanota.com

consultransom@protonmail.com

YOUR PERSONAL ID: ***

---

Результаты анализов: IOC: VT + IA + TG

MD5: 8e4fa69d87a6d3c6d7e6c699b25cc2ab

SHA-1: e5981cfe6ded85b01b10f4b2a5fc2f8537a63b31

SHA-256: 6a0d713e89b61a8709f8d55e19631ec31370d87880a478704609eee78ccd3c18

Vhash: 015056655d15556138z72z2dz2061z11za1z17z

Imphash: 7d1a1ba7b3fa066ca05e323a7d526151

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34991

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC

Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB

Rising -> Ransom.Outsider!1.D74B (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Eckt

TrendMicro -> Ransom_GarrantDecrypt.R002C0DBN22

Вариант от 7 марта 2022: 

Сообщение >>

Расширение: .devicZz

Записки: HOW TO RECOVER.TXT, RECOVERY INFORMATION

Email: deviceZz@mailfence.com

➤ Содержание записки: 

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!

4.We can decrypt few files in quality the evidence that we have the decoder.

CONTACT US:

deviceZz@mailfence.com

YOUR PERSONAL ID: ***

Вариант от 7 мая 2022:

Сообщение >>

Расширение: .acookies

Записка: RECOVERY INFORMATION.txt

Email: acookies@tutanota.com, acookies@onionmail.org

Вариант от 17 мая 2022:

Сообщение >>

Расширение: .bozon3

Записка: RECOVERY INFORMATION.txt

Email: mallox@stealthypost.net, recohelper@cock.li

 

Вариант от 22 июня 2022 или раньше:

Сообщение >>

Расширение: .FARGO

Записка: FILE RECOVERY.txt

Email: mallox@tutanota.com, recohelper@cock.li

Результаты анализа: VT + IA

Обнаружения: 

DrWeb -> Trojan.Encoder.35480

BitDefender -> Generic.Malware.2g.5A4C2FA8

ESET-NOD32 -> A Variant Of Win32/Filecoder.OJC

Вариант от 12 ноября 2022: 

Сообщение на форуме >>

Расширение: .milovski-G-********

Записка: RECOVERY INFORMATION !!!.txt

Email: milovski@tutanota.com

➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!

2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!

3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 

4.We can decrypt few files in quality the evidence that we have the decoder.

5.Your key is only kept for seven days beyond which it will never be decrypted!

6.Do not rename, do not use third-party software or the data will be permanently damaged!

7.Do not run any programs after the computer is encrypted. It may cause program damage!

8.If you delete any encrypted files from the current computer, you may not be able to decrypt them!

CONTACT US:

milovski@tutanota.com

If no response is received within 12 hours contact: milovski@onionmail.org

ID:********

=== 2023 ===

Вариант от 11 января 2023 (возможно был в октябре 2022): 

Сообщение на форуме >>

Расширение: .FARGO3

Записка: RECOVERY FILES.txt

Email: mallox@stealthypost.net, recohelper@cock.li

Вариант от 27 февраля или раньше:

Сообщение >>

Расширение: .mawahelper

Записка: RECOVERY INFORMATION !!!.txt

Email: mawahelper@tutanota.com, mawahelper@onionmail.com

Вариант от 21 апреля 2023:

Расширение: .brocamel

Цель: BroCamel

Записка: How to decrypt files.txt

Tor-URL: hxxx://hye34tlszbt562z34d4k36eia2vq5tnhhd3mimrt5n5cdovbqnan3myd.onion

Список вариантов от rivitna:

github.com/rivitna/Malware/blob/main/Mallox/MallabDecryptorEx/Supported_samples.txt

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 Write-up, Topic of Support
 Описание у DrWeb >>

🔓 Внимание! В некоторых случаях файлы можно расшифровать.
Пишите по этой ссылке к Майклу Джиллеспи >> 
***
Или скачайте дешифровщик от Avast по ссылке >> 
Расшифровка для вариантов с расширениями: .mallox, .exploit, .architek, .brg

🔓 Mallox decryptor (extended version) by rivitna
*.mallox (from October 2022 to March 2023)
*.xollam (January 2023)
*.malox (from April 2023 to July 2023)
*.mallox (August 2023)
*.xollam (August 2023)
*.malloxx (August 2023)
*.mallab (from September 2023 to October 2023)

Link: https://github.com/rivitna/Malware/tree/main/Mallox/MallabDecryptorEx
Archive password: 5r1@*2lh-baVuK(=7acc

 Thanks: 
 dnwls0719, S!Ri, Michael Gillespie, rivitna
 Andrew Ivanov (article author)
 Company Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.