Janelle

Janelle Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $600 в BTC, чтобы вернуть файлы. Оригинальное название: Janelle. На файле написано: Click.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34315
BitDefender -> Generic.Ransom.Hiddentear.A.AA216A1F
ESET-NOD32 -> MSIL/Filecoder.AKY
Malwarebytes -> Malware.AI.3709760228
Microsoft -> Ransom:MSIL/Janelle.PAA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cc6743
TrendMicro -> Ransom_Janelle.R002C0DIG21
---

© Генеалогия: ??? >> Janelle

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале/середине/конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляются расширения: 

.aes
.aes.JANELLE

Записки с требованием выкупа называются: 

Readme.txt

index.html

Содержание записки Readme.txt:

Q:  What's wrong with my files?

A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.

If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!

Let's start decrypting!

Q:  What do I do?

A:  First, you need to pay service fees for the decryption.

Please send $600 worth of bitcoin to this bitcoin address: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

Next, please contact me at jannelle2021@protonmail.com with proof of payment

(You may need to disable your antivirus for a while.)

Q. Finding it hard to buy bitcoins ?

A:  You can also purchase bitcoins at a bitcoin ATM near you.

Q: How do I know this is legit?

A:  You have two options.

You either loose all your files or you pay the ransom and have your files decrypted.

*If you need our assistance, send an email at janelle2021@protonmail.com on the decryptor window.  

Перевод записки Readme.txt на русский язык:

В: Что не так с моими файлами?
О: Ой, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Приступим к расшифровке!
Q: Что мне делать?
О: Во-первых, вам необходимо оплатить услуги расшифровки.
Отправьте биткойны на сумму $600 на этот биткойн-адрес: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo
Затем, пожалуйста, свяжитесь со мной по jannelle2021@protonmail.com с подтверждением оплаты.
(Возможно, вам придется на время отключить антивирус.)
В. Вам сложно покупать биткойны?
О: Вы также можете приобрести биткойны в ближайшем к вам биткойн-банкомате.
В: Как я узнаю, что это законно?
О: У вас есть два варианта.
Вы либо теряете все свои файлы, либо платите выкуп, и ваши файлы расшифровываются.
* Если вам нужна наша помощь, отправьте электронное письмо на janelle2021@protonmail.com в окне дешифратора.

Содержание записки index.html:

What Happened to My Computer?

Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?

Sure. We guarantee that you can recover all your files safely and easily. But if you want to decrypt all your files, you need to pay. You have 24 hours to submit the payment. After that the price will be doubled. Also, if you don't pay in 7 days, you will not be able to recover your files forever.

How Do I Pay?

Payment is accepted in Bitcoin only. For more information, click .

Please check the current price of Bitcoin and buy some bitcoins. For more information, click .

And send the correct amount to the address specified in this window.

After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.

Once the payment is checked, you can start decrypting your files immediately.

Contact

If you need our assistance, send a message by clicking .

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, you will not be able to recover your files even if you pay!

Перевод записки записки index.html на русский язык:

Что случилось с моим компьютером?

Ваши важные файлы зашифрованы. Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ вернуть свои файлы, но не теряйте зря время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.

Могу ли я восстановить свои файлы?

Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но если вы хотите расшифровать все свои файлы, вам нужно будет заплатить. У вас есть 24 часа, чтобы отправить платеж. После этого цена будет увеличена вдвое. Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить свои файлы никогда.

Как мне оплатить?

Оплата принимается только в биткойнах. Для получения информации щелкните.

Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения информации щелкните.

И отправьте правильную сумму на адрес, указанный в этом окне.

После оплаты нажмите. Лучшее время для проверки: 9:00 - 11:00 по Гринвичу с понедельника по пятницу.

После проверки оплаты вы можете сразу же приступить к расшифровке файлов.

Контакт

Если вам нужна наша помощь, отправьте сообщение, щелкните.

Мы очень рекомендуем вам не удалять эту программу и на время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, вы не сможете восстановить свои файлы, даже если заплатите!

Другим информатором жертвы выступает экран блокировки с двумя таймерами. 

Также используется изображение, заменяющее обои Рабочего стола, с надписью: 

God is... MERCIFUL

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt - название файла с требованием выкупа;

index.html - название файла с требованием выкупа;

ddd.txt - файл с идентификатором; 

EncryptedKey.txt - файл с клюбчом шифрования; 

background.png - изображение, заменяющее обои Рабочего стола; 

AmazonValidatorbyCodeX.exe - название вредоносного файла; 

Click.exe - название вредоносного файла; 

NumifyV2.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\NumifyV2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jannelle2021@protonmail.com
BTC: 114NHHMdrCuJ6P3mwHHeyWvwdWdDWzqdpo

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f7aded1fe838c4575a9c79edd4c17c6d

SHA-1: 4d4c757852cbd46c493841c6630a2615042df61d

SHA-256: 81331f7bbcf9c0b0f000ff6ab02dcc40b30c0cce5b3daa23f9efb1bc70fab4e8

Vhash: 215036751512b0882e327025

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Penta

Penta Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0035 BTC, чтобы вернуть файлы. Оригинальное название: Penta. На файле написано: Penta.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36585
BitDefender -> Trojan.GenericKD.37497577
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.SX
Kaspersky -> HEUR:Trojan-Dropper.MSIL.Autit.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Penta.B!MTB
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Penta.R067C0DIG21
---

© Генеалогия: ??? >> Penta

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .PENTA 

Записка с требованием выкупа называется: PENTA_README.txt

Содержание записки о выкупе:

If you want to recover your files, follow these commands and purchase a recovery key.

====================================================

1. Please contact us by email below and send us your VH2S, which is your VICTOM number.

2. If you have sent the correct VICTOM number via email, you will be sent a site where you can purchase the recovery key.

3. Go to the www.torproject.org site and download the Tor browser.

4. Please connect to the site and send 0.0035 bitcoin to the bitcoin wallet written on the site. If you don't have bitcoin, buy it with your credit card and send it.

5. If the purchase is complete, download and run the recovery key. Your files will be restored if the program has run normally. If you run the program and nothing happens, please run the program again.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Перевод записки на русский язык:

Если вы хотите восстановить файлы, следуйте этим командам и купите ключ восстановления.

================================================== ==

1. Напишите нам на email ниже и отправьте нам свой VH2S, который является вашим номером ЖЕРТВЫ.

2. Если вы отправили правильный номер ЖЕРТВЫ на email, вам будет отправлен сайт, на котором вы сможете купить ключ восстановления.

3. Зайдите на сайт www.torproject.org и загрузите браузер Tor.

4. Подключитесь к сайту и отправьте 0.0035 биткойнов на биткойн-кошелек, указанный на сайте. Если у вас нет биткойнов, купите его с помощью кредитной карты и отправьте.

5. Если покупка завершена, загрузите и запустите ключ восстановления. Ваши файлы будут восстановлены, если программа работает нормально. Если при запуске программы ничего не происходит, запустите ее еще раз.

==========EMAIL==========

pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

В зашифрованном файле содержится ключ шифрования. 

Файлы, связанные с этим Ransomware:
PENTA_README.txt - название файла с требованием выкупа;
PENTA.exe - название вредоносного файла;

PENTA_RANSOMWARE.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pentros30@protonmail.com

pentaxyz777@protonmail.com

gxa34rttf50gqlagnes@gmail.com

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ebe64febebaba6afb65f51168a40934b

SHA-1: 9e04c2831f89085edc646cdf25afbdf24d3236be

SHA-256: e990841e3e475107fcd59bee9ab18b79d44d8602e20b877a6959a68117540365

Vhash: 27403665151110262f122080

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 сентября 2021:

Сообщение >>

Записка: PENTA_README.txt

BTC: 0.0035

Email: pentros30@protonmail.com

Tor-URL: www.pentakey_35FH_0V1X_GRR3.onion

Файл: PENTA_RANSOMWARE.exe

Результаты анализов: 

IOS: VT, AR

MD5: 81f5893f673b81ed4a271634c899aed2

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SanwaiCrypt

SanwaiCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.002077 BTC, чтобы вернуть файлы. Оригинальное название: SanwaiCrypt и sanwaiWare 2021. На файле написано: gerjjkrkjjk33.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36493
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.Injector.gzsbs
BitDefender -> Trojan.Generic.30043531
ESET-NOD32 -> Win32/Filecoder.OIJ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Malwarebytes -> Malware.AI.3537836220
Microsoft -> Ransom:Win32/SanwaiCrypt.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Aihk
TrendMicro -> Ransom.Win32.SANWAI.A
---

© Генеалогия: ??? >> SanwaiCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sanwai

Записки с требованием выкупа называются: 
IMPORTANT.txt

IMPORTANT.html

Содержание записки IMPORTANT.txt:

!! sanwaiWARE !!

YOUR FILES HAVE BEEN ENCRYPTED. THE ONLY WAY TO GET THEM BACK IS BY MAKING PAYMENT.

TO GET YOUR FILES BACK, YOU MUST:

- SEND 0.002077 BITCOIN TO bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

 * MAKE SURE YOU COVER THE FEES AND SEND THE EXACT AMOUNT TO THE ADDRESS!

ONCE THE PAYMENT IS MADE, OPEN DECRYPTOR FILE ON DESKTOP AND YOU WILL HAVE ACCESS TO ALL OF YOUR FILES AGAIN, AND THIS WILL NOT HAPPEN AGAIN

sanwaiWare 2021

Перевод записки IMPORTANT.txt на русский язык:

!! sanwaiWARE !!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ИХ - ЗАПЛАТИТЬ.

ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ, ВЫ ДОЛЖНЫ:

- ОТПРАВИТЬ 0.002077 БИТКОИНА НА bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

* УБЕДИТЕСЬ, ЧТО ВЫ ОПЛАТИЛИ СБОР И ОТПРАВИЛИ ТОЧНУЮ СУММУ НА АДРЕС!

ПОСЛЕ СЛОВА ОПЛАТЫ ОТКРОЙТЕ ФАЙЛ ДЕКРИПТОРА НА РАБОЧЕМ СТОЛЕ, И ВЫ ПОЛУЧИТЕ ДОСТУП КО ВСЕМ ВАШИМ ФАЙЛАМ, И ЭТО БОЛЬШЕ НЕ СЛУЧИТСЯ.

sanwaiWare 2021

Содержание записки IMPORTANT.html:

sanwaiWare 2021

Your files have been encrypted.

PAYMENT

Send 0.002077 BITCOIN to

bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

AFTER PAYMENT

Once you have sent payment, open the Decryptor on your Desktop.

Attempting to reverse will result in your files being lost forever.

PAYMENT NOTICE

You have (48) hours from initial notice to make payment.

If payment is not made within the time frame, your files will be deleted.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 

gerjjkrkjjk33.exe - название вредоносного файла; 

h6vn2o125.dll - название вредоносного файла; 

decryptor.exe - название файла дешифровщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e530cbe69e8f66f8a8560ad9f31bfdf3

SHA-1: f72ca49a000436158abb13902e4b5a864729723a

SHA-256: 9d6a780c9d7d1b3d95717fda1f4b388aef2d7282884b0c84714e3755dbabb71b

Vhash: 055056656d155560a2z13z38nz24z21384z1

Imphash: 3d969f9aab4c7fb9b9db6eeb3737ae56

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HQ_52_42

HQ Ransomware

HQ_52_42 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные в корпоративной сети с помощью AES+RSA, а затем требует выкуп в 25-35 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HQ_52_42.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34387, Trojan.Encoder.34388

ALYac -> Trojan.Ransom.WannaSmile
Avira (no cloud) -> TR/AD.ZCrypt.oytdw, TR/AD.ZCrypt.nbrdh
BitDefender -> Gen:Variant.Ransom.HQ.1, Gen:Heur.Mint.Zard.2
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIC
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen, HEUR:Trojan-Ransom.Win32.Instructions.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/HQCrypt.PA!MTB
Rising -> Trojan.Generic@ML.82 (RDMK:*
Symantec -> Ransom.Crysis, Downloader
Tencent -> Win32.Trojan.Filecoder.Pcir, Win32.Trojan.Filecoder.Pcsb
TrendMicro -> Ransom.Win32.ZCRYPT.SM
---

© Генеалогия: ✂ WannaSmile >> HQ_52_42

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HQ_52_42

Записка с требованием выкупа называется: How to decrypt files.html

Содержание записки о выкупе:

ALL YOUR PERSONAL FILES ARE ENCRYPTED

All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this Network. It means that you will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don’t know how to get Bitcoins, you can google “How to Buy Bitcoins” and follow the instructions.

To recover your files and unlock your computers, you must send 25 Bitcoins (This amount for all Network), to the next Bitcoin address:

bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

YOU ONLY HAVE 1 WEEK TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 35 Bitcoins. Also, if you don’t pay in 2 Week, your unique key will be destroyed and you won’t be able to recover your files anymore.

WARNING!

DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.

After Payment , Send message to XMPP ID ( rans_contact@xmpp.jp ) for receive Private Key

Перевод записки на русский язык:

ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ

Все ваши данные (фото, документы, база данных, ...) были зашифрованы с помощью частного и уникального ключа, сгенерированного для этой Сети. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это сделать платеж.

Оплата должна быть произведена в биткойнах на уникальный адрес, который мы создали для вас. Биткойны - это виртуальная валюта для совершения онлайн-платежей. Если вы не знаете, как получить биткойны, вы можете погуглить «Как купить биткойны» и следовать инструкциям.

Чтобы восстановить файлы и разблокировать компьютеры, вы должны отправить 25 биткойнов (эта сумма для всей сети) на следующий биткойн-адрес:

bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

У ВАС ЕСТЬ ТОЛЬКО 1 НЕДЕЛЯ, ЧТОБЫ ОПЛАТИТЬ ПЛАТЕЖ! Когда отведенное время истечет, оплата увеличится до 35 биткойнов. Кроме того, если вы не заплатите в течение 2 недель, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.

ПРЕДУПРЕЖДЕНИЕ!

НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА РАСШИФРОВКИ. ВЫ ПОТЕРЯЕТЕ СВОИ ФАЙЛЫ НАВСЕГДА. ЕДИНСТВЕННЫЙ СПОСОБ СОХРАНЕНИЯ ФАЙЛОВ - СЛЕДОВАТЬ ИНСТРУКЦИЯМ.

После оплаты отправьте сообщение на XMPP ID (rans_contact@xmpp.jp) для получения закрытого ключа

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html - название файла с требованием выкупа;
HQ_52_42.exe - название вредоносного файла; 

HQ_52_42.pdb - название файла проекта;

js-файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\bigbang\Desktop\al-madani\Release\HQ_52_42.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMPP: rans_contact@xmpp.jp
BTC: bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 484169de5d8c8f283e0b0a1054d3f987

SHA-1: abe62e9356b7291adc35b5672fa92ea2600d60d4

SHA-256: 3ee2e13b3cdae92f1af84610e9b81f7f5d9223b647e5f0e14844fc87a5ae65c4

Vhash: 085076655d551d15556038z5fjz11z3fz

Imphash: 247705c5d89e4ef39be82f4712c40efa

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b245aea38d0273448c1396394f3a6882

SHA-1: 4f8b8a4de89cd84a3f11fa13739cc5b8b63c01c5

SHA-256: f9d676d0317d3adef926e5ebe489de13c89385df2948170e5edb01fa2911bdae

Vhash: 085076655d551d15556038z5fjz11z3fz

Imphash: 247705c5d89e4ef39be82f4712c40efa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.