Udacha

Udacha Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $490 (0.013 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Vulkan Runtime.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34391
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tovnb
BitDefender -> Trojan.GenericKD.37610923
ESET-NOD32 -> Win64/Filecoder.DF
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Tnega!ml
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Delshad.Pgxf
TrendMicro -> TROJ_FRS.VSNW15I21
---

© Генеалогия: ✂ MedusaLocker >> Udacha 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине - в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .udacha 

Записка с требованием выкупа называется: ReadMe_Instruction.mht

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

>> PAY FAST 490$=0.013 btc <<

Price tomorrow will increase by 2 times if you do not pay today

BTC-address: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

To be sure we have the decryptor and it works you can send an email: udacha123yes@mail2tor.com and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

udacha123yes@mail2tor.com

TELEGRAM @udacha123yes

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы не сможете расшифровать его сами! Единственный метод восстановления файлов - это покупка уникального закрытого ключа.

Только мы можем дать вам этот ключ и только мы можем восстановить ваши файлы.

>> ПЛАТИ БЫСТРО 490$ = 0,013 btc <<

Цена завтра вырастет в 2 раза, если не заплатите сегодня

BTC-адрес: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email: udacha123yes@mail2tor.com и бесплатно расшифровать один файл.

Но этот файл не должен быть ценным!

Вы точно хотите восстановить свои файлы?

udacha123yes@mail2tor.com

TELEGRAM @ udacha123yes

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к безвозвратной потере данных.

* Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_Instruction.mht - название файла с требованием выкупа;
B06.exe - название вредоносного файла/

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: udacha123yes@mail2tor.com
Telegram: @udacha123yes

BTC: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 49fb0e5a3415155c24d6839250cd7fed

SHA-1: 69fa4c797df21b98740368c268cfd1919bf4a6e0

SHA-256: f2a155473c06ecad973676f1e2a8d228ab4a8adf32a87477c716f31fddf6cbaf

Vhash: 046096050d05050707751013z13z11z15z15z13z15z17z

Imphash: 51d2cd2fcbfe5f3135855c9d832278d4

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

TimeCrypt, Kcry

TimeCrypt Ransomware

Kcry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: TimeCrypt. На файле написано: TimeCrypt.exe. Написан на языке .NET.

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.30
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) ->  -> Trojan.Ransom.Filecoder
BitDefender -> Gen:Variant.Bulz.97395
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJX
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/TimeCrypt.MK!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Denes.Hsjf
TrendMicro -> TimeCrypt.R002C0DIN21
---

© Генеалогия: ??? >> TimeCrypt, Kcry

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был обнаружен во второй половине  сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .kcry

Использует фальшивый экран установки обновлений Windows, а сам в это время шифрует файлы, затем открывает записку с требованиеями выкупа. 

Записка с требованием выкупа называется: kcry-info.txt

Содержание записки о выкупе:

Congratulations!

You were infected with a very sofisticated   R.A.N.S.O.M.W.A.R.E V.I.R.U.S!

All your precious files are now E.N.C.R.Y.P.T.E.D!

Do not alert your IT or the Police if you ever want to get your files back!

Send $200 until the end of the week to the following B.I.T.C.O.I.N address >>> 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF <<< and your files will automatically be retrieved. 

[!] Your Company doesn't need to know that you were compromised.

[!] Your familiy doesn't have to see you getting fired for this.

[!] Just pay us the money and you will be fine.

Перевод записки на русский язык:

Поздравляю!

Вы были заражены очень изощренной системой R.A.N.S.O.M.W.A.R.E V.I.R.U.S!

Все ваши драгоценные файлы теперь E.N.C.R.Y.P.T.E.D!

Не предупреждайте ИТ-службу или полицию, если вы когда-нибудь захотите вернуть свои файлы!

Отправьте $200 до конца недели на следующий адрес B.I.T.C.O.I.N >>> 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF <<<, и ваши файлы будут автоматически загружены.

[!] Вашей компании не нужно знать, что вы были скомпрометированы.

[!] Ваша семья не должна видеть, как вас за это увольняют.

[!] Просто заплатите нам деньги и все будет в порядке.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно анализу Intezer вымогатель содержит BabaxStealer. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
kcry-info.txt - название файла с требованием выкупа;
TimeCrypt.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 19a2cHhnF8sxQWU4428SHMpvYfXRARsVxF

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 22ff13395d2dbf841909c4f348dfd6c1

SHA-1: 5b90b19882166214a64c9af5a2a28a5f5a1a0d6f

SHA-256: d1d1f2984d23b53c022e454b0736b65375926d73c7db299f4a931c974ad9a8b4

Vhash: 26503675651250c81a213022

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri, xiaopao, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Quantum Locker

Quantum Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Quantum Locker. На файле написано: manual64.dll.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34422
ALYac -> Trojan.Ransom.MountLocker
BitDefender -> Trojan.Generic.30200278
ESET-NOD32 -> A Variant Of Generik.ENAUAZP
Kaspersky -> Trojan-Ransom.Win32.MountLocker.g
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Trojan.Gen.MBT
TrendMicro -> Ransom_MountLocker.R002C0PIP21
---

© Генеалогия: MountLocker > SunRise Locker > Quantum Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .quantum

Записка с требованием выкупа называется: README_TO_DECRYPT.html

Содержание записки о выкупе:

Your ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

This message contains an information how to fix the troubles you've got with your network.

Files on the workstations in your network were encrypted and any your attempt to change, decrypt or rename them could destroy the content.

The only way to get files back is a decryption with Key, provided by the Quantum Locker.

During the period your network was under our control, we downloaded a huge volume of information.

Now it is stored on our servers with high-secure access. This information contains a lot of sensitive, private and personal data.

Publishing of such data will cause serious consequences and even business disruption.

It's not a threat, on the contrary - it's a manual how to get a way out.

Quantum team doesn't aim to damage your company, our goals are only financial.

After a payment you'll get network decryption, full destruction of downloaded data, information about your network vulnerabilities and penetration points.

If you decide not to negotiate, in 48 hours the fact of the attack and all your information will be posted on our site and will be promoted among dozens of cyber forums, news agencies, websites etc.

To contact our support and start the negotiations, please visit our support chat.

It is simple, secure and you can set a password to avoid intervention of unauthorised persons.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Password field should be blank for the first login.

Note that this server is available via Tor browser only.

P.S. How to get TOR browser - see at https://www.torproject.org

Перевод записки на русский язык:

Ваш ID:

ff4fd1f68dc85f11b97580b7ac616fbf2c9d4***

Это сообщение содержит информацию о том, как исправить проблемы, возникшие в вашей сети.

Файлы на рабочих станциях в вашей сети были зашифрованы, и любая ваша попытка изменить, расшифровать или переименовать их может уничтожить содержимое.

Единственный способ вернуть файлы - это дешифрование с помощью ключа, предоставляемого Quantum Locker.

За время, пока ваша сеть находилась под нашим контролем, мы скачали огромный объем информации.

Теперь он хранится на наших серверах с высокозащищенным доступом. Эта информация содержит много конфиденциальных, личных и личных данных.

Публикация таких данных приведет к серьезным последствиям и даже к сбою в работе.

Напротив, это не угроза - это инструкция по выходу.

Команда Quantum не стремится навредить вашей компании, наши цели исключительно финансовые.

После оплаты вы получите расшифровку сети, полное уничтожение загруженных данных, информацию об уязвимостях вашей сети и точках проникновения.

Если вы решите не вести переговоры, в течение 48 часов факт атаки и вся ваша информация будут размещены на нашем сайте и продвинуты среди десятков киберфорумов, новостных агентств, веб-сайтов и т.д.

Чтобы связаться с нашей службой поддержки и начать переговоры, посетите наш чат поддержки.

Это просто, безопасно, и вы можете установить пароль, чтобы избежать вмешательства посторонних лиц.

hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/?cid=ff4fd1f68dc85f11b97580b7ac***

Поле пароля должно быть пустым при первом входе в систему.

Обратите внимание, что этот сервер доступен только через браузер Tor.

P.S. Как получить браузер TOR - см. На https://www.torproject.org

Скриншоты с сайта вымогателей (ранний от 14 сентября, последний - 4 октября): 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Вымогатели используют вредоносное ПО IcedID в качестве одного из первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа к компьютерам жертвы и приводит к краже данных и шифрованию с использованием Quantum Locker.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений с ISO-файлом, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_TO_DECRYPT.html - название файла с требованием выкупа;
manual64.dll - название вредоносного файла;

00018A49.bat - командный вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\00018A49.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor -URL: hxxx://mi7h736jfgwnhutiodavthxre5atnfrrpekbhry7fizqddkfcm6povid.onion/

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d35a5caf8af43432ec2f5a2318b20597

SHA-1: 8fd8f62a848a1d9c1ff18c7bc16e8a6d2c67c37e

SHA-256: c74873d7b8cc622379ed49bd0b0e477167ae176aa329b01338666ec4c1a4426b

Vhash: 115056651d151d5bz1?z2

Imphash: 1d30df1e5b7623c4b3e7485c04815cbd

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DECAF

DECAF Ransomware

Winner Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (режим CBC) и случайно сгенерированного ключа шифрования, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go. 
---
Обнаружения:
DrWeb -> DrWebTrojan.Encoder.34460, DrWebTrojan.Encoder.34471

Avast -> Win64:Malware-gen
BitDefender -> Trojan.GenericKD.46961514, Gen:Variant.Bulz.882140
ESET-NOD32 -> WinGo/Filecoder.AP, A Variant Of WinGo/Filecoder.AQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.nrv, Trojan.Win64.Agentb.awh
Malwarebytes -> Ransom.Decaf, Malware.AI.2201451678
Microsoft -> Ransom:Win64/Deecaf.A!dha
Rising -> Ransom.Encoder!8.FFD4 (KTSE), Ransom.Agent!8.6B7 (KTSE)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Falsesign.Pdwb
TrendMicro -> Ransom.Win64.DECAF.THBAABA
---

© Генеалогия: ??? >> DECAF

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой и второй половине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .decaf

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

WINNER WINNER CHICKEN DINNER

What happend?

##############################################

All your servers and computers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.

But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.

Follow our instructions below and you will recover all your data.

What guarantees?

##############################################

We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.

All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.

We guarantee to decrypt one image file for free. The file size should be no more than 2 MB. Contact us by email:

22eb687475f2c5ca30b@protonmail.com

!!! DANGER !!!

DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.

!!! DANGER !!!

Перевод записки на русский язык:

WINNER WINNER CHICKEN DINNER

Что случилось?

###############################################

Все ваши серверы и компьютеры зашифрованы, резервные копии удалены. Мы используем надежные алгоритмы шифрования, поэтому вы не сможете расшифровать свои данные.

Но вы можете все восстановить, купив у нас специальную программу - универсальный расшифровщик. Эта программа восстановит всю вашу сеть.

Следуйте нашим инструкциям ниже, и вы восстановите все свои данные.

Какие гарантии?

###############################################

Мы дорожим своей репутацией. Если мы не будем выполнять свою работу и обязательства, нам никто не заплатит. Это не в наших интересах.

Все наше программное обеспечение для расшифровки отлично протестировано и расшифрует ваши данные. Мы также окажем поддержку в случае возникновения проблем.

Мы гарантируем расшифровку одного файла изображения бесплатно. Размер файла должен быть не более 2 МБ. Свяжитесь с нами по email:

22eb687475f2c5ca30b@protonmail.com

!!! ОПАСНОСТЬ !!!

НЕ ИЗМЕНЯЙТЕ и не пытайтесь ВОССТАНОВИТЬ какие-либо файлы сами. Мы НЕ СМОЖЕМ ВОССТАНОВИТЬ их.

!!! ОПАСНОСТЬ !!!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
50iwceqky.dll, gonhjjglh.dll, installOLD.exe - названия вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 22eb687475f2c5ca30b@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 46a1325bb01e37e0ee2d2ba37db257f2

SHA-1: fde5f666007cdb1fd1dddd2fefbed916992e9e65

SHA-256: 98272cada9caf84c31d70fdc3705e95ef73cb4a5c507e2cf3caee1893a7a6f63

Vhash: 07503e0f7d1bz4!z

Imphash: 6ed4f5f04d62b18d96b26d6db7c18840

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 298b9c281bab03460621171d76476850

SHA-1: 7c4027418a000c68372b251a2fc152b10acf502f

SHA-256: 5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477

Vhash: 036066655d5d15041az28!z

Imphash: c7269d59926fa4252270f407e4dab043

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 Added later: Write-up

 Thanks: 
 ***
 Andrew Ivanov (article author)
 0xhido, Intezer
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.