HotCoffee

HotCoffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 кофе, чтобы вернуть файлы. Оригинальное название: HotCoffeeRansomware. На файле написано: HotCoffeeRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34366
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.bzuzi
BitDefender -> Trojan.Generic.30254142
ESET-NOD32 -> A Variant Of Win64/Filecoder.DY
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/FileCoder.CK!MTB
Tencent -> Win64.Trojan.Generic.Svgu
TrendMicro -> CallTROJ_GEN.R002H0DIR21
---

© Генеалогия: ??? >> HotCoffee

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .hotcoffee

Записка с требованием выкупа называется: HOT_COFFEE_README.hta

В заголовке экрана есть слова "surprise friend": 

Содержание записки о выкупе:

GIVE ME HOT COFFEE

You have been bamboozled by the hot coffee ransomware.

Your files have been encrypted using military grade encryption and only we have the decryption key.

If you want to get your files back you need to pay a ransom of 1 large long black with an extra espresso shot.

Email EMAIL@protonmail.com for further instructions. You have 7 days to pay or else.

Перевод записки на русский язык:

ДАЙТЕ МНЕ ГОРЯЧИЙ КОФЕ

Вы одурачены программой-вымогателем для горячего кофе.

Ваши файлы были зашифрованы с использованием шифрования военного уровня, и только у нас есть ключ дешифрования.

Если вы хотите вернуть свои файлы, вам нужно заплатить выкуп в размере 1 большой длинный черный с дополнительной порцией эспрессо.

Напишите на EMAIL@protonmail.com для получения дальнейших инструкций. У вас есть 7 дней на оплату или иначе.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOT_COFFEE_README.hta - название файла с требованием выкупа; 
HotCoffeeRansomware.exe - случайное название вредоносного файла; 

HotCoffeeRansomware.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\betha\source\repos\bethcoop\HCR\x64\Release\HotCoffeeRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c054c0f03277f7f0bdad9350fa3d5c2d

SHA-1: 752071b548bb3a4c45c91174fcf5cf95ce99638a

SHA-256: 546f3a70ab029ad78105f1b7cf581038362cfbb3c7120326075552d72656ec98

Vhash: 075066651d1515651088z25xz25z

Imphash: bbb0f216d2c150cdf577e5b407a73162

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Koxic

Koxic Ransomware

Koxic Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34888
BitDefender -> Trojan.GenericKD.47895359
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIT
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Koxic.UPX
Microsoft -> Trojan:Win32/Woreflint.A!cl
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Dzuk
TrendMicro -> TROJ_GEN.R03FC0WAH22
---

© Генеалогия: ??? >> Koxic

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре 2021 и заново проявилась в середине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение по шаблону: .KOXIC_XXXXX

Под XXXXX находятся 5 случайных английских букв в верхнем регистре. 

Примеры таких расширений: 

.KOXIC_JRCOD

.KOXIC_PLCAW

.KOXIC_JEWLD

Записка с требованием выкупа называется по шаблону: WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt

К названию записки добавляется XXXXX из расширения. 

Примеры таких записок:

WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt

WANNA_RECOVER_KOXIC_FILEZ_JRCOD.txt

WANNA_RECOVER_KOXIC_FILEZ_JEWLD.txt

Содержание записки о выкупе (1-й вариант):

--=== Hello. ===---

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable.

All sensitive information also leaked.

By the way, everything is possible to recover (restore), but you need to follow our instructions.

Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+] 

Its just a business. We absolutely do not care about you and your deals, except getting benefits.

If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests. 

To check the ability of returning files, You should send sample to us to decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. 

But you will lose your time and data, cause just we have the private key.

In practise-time is much more valuable than money. 

[+] How to contact us? [+]

You have two ways: 

1) [Recommended] Using an email

Just write us an email to wilhelmkox@tutanota.com

2) Quick contact with us or if you will not receive our letters download qTox and ADD our TOXID:  F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F 

How to download QTOX:

 - hxxxs://tox.chat/download.html

 - hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe 

Add our mails to contacts so as not to lose letters from us.

Check your spam sometimes, our emails may get there.

[+] Consequences if we do not find a common language [+]

1. The data were irretrievably lost.

2. Leaked data will be published or sold on blmarket (or to competitors).

3. In some cases, DDOS attacks will be applied to your inftastructure.

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.

!!! !!! !!! 

ONE MORE TIME: Its in your interests to get your files back. 

From our side, we (the best specialists) make everything for restoring, but please should not interfere. 

!!! !!! !!! 

Your UserID:

7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)

Перевод записки на русский язык:

--=== Привет. ===---

[+] Что случилось? [+]

Ваши файлы зашифрованы и теперь недоступны.

Вся конфиденциальная информация также утекла.

Кстати, вернуть (восстановить) можно все, но нужно следовать нашей инструкции.

Иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии? [+]

Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды.

Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.

Чтобы проверить возможность возврата файлов, Вы должны отправить нам образец для расшифровки одного файла бесплатно. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения.

Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.

На практике время гораздо ценнее денег.

[+] Как с нами связаться? [+]

У вас есть два пути:

1) [Рекомендуется] Использование email

Просто напишите нам письмо на адрес wilhelmkox@tutanota.com

2) Быстрый контакт с нами или если вы не получите наши письма, скачайте qTox и ДОБАВЬТЕ наш TOXID: F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F

Как скачать QTOX:

 - hxxxs://tox.chat/download.html

 - hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe

Добавляйте наши почты в контакты, чтобы не терять письма от нас.

Иногда проверяйте спам, наши письма могут попасть туда.

[+] Последствия, если мы не найдем общий язык [+]

1. Данные безвозвратно утеряны.

2. Утечка данных будет опубликована или продана на blmarket (или конкурентам).

3. В некоторых случаях DDOS-атаки будут применяться к вашей инфраструктуре.

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменять файлы самостоятельно, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, Утерю всех данных.

!!! !!! !!!

ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы.

Со своей стороны, мы (лучшие специалисты) делаем все для восстановления, но просьба не мешать.

!!! !!! !!!

Ваш UserID:

7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)

---

Содержание записки о выкупе (2-й вариант):

Hello, all your important files are encrypted and sensitive data leaked.

To decrypt your files and avoid other unpleasant things you need to buy special decryption tool.

Contact us via koxic@cock.li or koxic@protonmail.com and tell your UserID.

This is the only way to decrypt your files and avoid public disclosure of data .

Do not try to use third party software (it may corrupt your files).

We respect black market rules. We can confirm the ability to decrypt your files (and of course the evidence of the leak ),

Send us several unimportant files (do not try to deceive us).

Your UserID (send it to us for decryption):

7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)

Перевод записки на русский язык:

Привет, все ваши важные файлы зашифрованы, а деликатные данные слиты.

Чтобы расшифровать ваши файлы и избежать других неприятных вещей, вам нужно купить специальный инструмент для расшифровки.

Свяжитесь с нами по адресу koxic@cock.li или koxic@protonmail.com и сообщите ваш UserID.

Это единственный способ расшифровать ваши файлы и избежать публичного раскрытия данных.

Не пытайтесь использовать сторонние программы (это может повредить ваши файлы).

Мы уважаем правила черного рынка. Мы можем подтвердить возможность расшифровки ваших файлов (и конечно доказательства утечки),

Пришлите нам несколько неважных файлов (не пытайтесь нас обмануть).

Ваш UserID (отправьте его нам для расшифровки):

7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, завершает работу и отключает запуск некоторых служб:

vssadmin delete shadows /all /quietsc config browsersc config browser start=enabledsc stop vsssc config vss start=disabledsc stop MongoDBsc config MongoDB start=disabledsc stop SQLWritersc config SQLWriter start=disabledsc stop MSSQLServerOLAPServicesc config MSSQLServerOLAPService start=disabledsc stop MSSQLSERVERsc config MSSQLSERVER start=disabledsc stop MSSQL$SQLEXPRESSsc config MSSQL$SQLEXPRESS start=disabledsc stop ReportServersc config ReportServer start=disabledsc stop OracleServiceORCLsc config OracleServiceORCL start=disabledsc stop OracleDBConsoleorclsc config OracleDBConsoleorcl start=disabledsc stop OracleMTSRecoveryServicesc config OracleMTSRecoveryService start=disabledsc stop OracleVssWriterORCLsc config OracleVssWriterORCL start=disabledsc stop MySQLsc config MySQL start=disabled 

➤ Модифицирует в реестре настройки безопасности и защиту Windows в реальном времени. Отключает уведомления панели задач. 

Самоудаляется с помощью командного файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt - название файла с требованием выкупа;

enc.exe (fo60iz92f.dll) - название вредоносного файла;

NTNNFVAWI - файл с информацией о компьютере.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: wilhelmkox@tutanota.com

Email-2: koxic@cock.li, koxic@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5a44e1d5691ec9395281123ea0bd501f

SHA-1: 64566d5049479227d2eff3d983b127c0339974cd

SHA-256: 7a5e20e021dc29a07cad61f4d0bdb98e22749f13c3ace58220bfe978908bb7e9

Vhash: 035056657d555560b8z667z27z13z1fz

Imphash: 79c5ab03c02854a056630e291956340b

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 14ee62fcc9163509856671400429ad55

SHA-1: 7544332b52769ca853d900669ef5e272a2ae1665

SHA-256: 699159e695e230a48d94b6103b48940ed596d0b48fb6d936c04d86eed539cecd

Vhash: 01503e0f7d5019z47z17z13z1fz

Imphash: 07253c21dea4ccc980c087252fddc7a8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Akbird
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackSun

BlackSun Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп 10.000 Euro в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BlackSun. На файле написано: BlackSun.ps1. 
---
Обнаружения:
DrWeb -> PowerShell.Encoder.17

ALYac -> Trojan.Ransom.Powershell

Avira (no cloud) -> TR/Ransom.Blacksun.A

BitDefender -> Trojan.Agent.FNDH
ESET-NOD32 -> PowerShell/Filecoder.AN
Kaspersky -> Net-Worm.PowerShell.BlackSun.a
Malwarebytes -> 
Microsoft -> Trojan:Win32/Vigorf.A
Rising -> Ransom.BlackSun/PS!1.D9AA (CLASSIC)
Symantec -> Trojan.Gen.NPE
Tencent -> Net.Worm-net.Blacksun.Loik
TrendMicro -> TROJ_FRS.0NA103J421
---

© Генеалогия: ??? >> BlackSun

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BlackSun

Записка с требованием выкупа называется: BlackSun_README.txt

Содержание записки о выкупе:

*** BlackSun PROJECT ***

All your data has been encrypted. Documents, photos, databases, backups.

HOW CAN I GET MY DATA BACK?

Your data is not destroyed.

your data are however encrypted with SSL encryption, the only way to decrypt them is to have the decryption code and software.

don't try to decrypt the files by yourself, you will damage them and make the recovery impossible.

HOW CAN I GET THE DECRYPTION SOFTWARE?

To get the software you will have to pay a certain amount of money. (10.000 euro in Monero Cryptocurrency)

You need to contact us at this email: bsprj1020@protonmail.com and we will tell you how to pay. You have 10 days starting from now.

Перевод записки на русский язык:

*** BlackSun ПРОЕКТ ***

Все ваши данные зашифрованы. Документы, фото, базы данных, резервные копии.

КАК Я МОГУ ВОССТАНОВИТЬ ДАННЫЕ?

Ваши данные не уничтожены.

ваши данные только зашифрованы с помощью SSL-шифрования, единственный способ их расшифровать - это иметь код дешифрования и программу.

не пытайтесь расшифровать файлы сами, вы повредите их и сделаете восстановление невозможным.

КАК Я МОГУ ПОЛУЧИТЬ ПРОГРАММУ ДЛЯ РАСШИФРОВКИ?

Для получения программы вам надо заплатить определенную сумму денег. (10.000 евро в криптовалюте Monero)

Вам надо связаться с нами по этому email: bsprj1020@protonmail.com, и мы расскажем, как заплатить. У вас есть 10 дней, начиная с этого времени.

Скриншоты, демонстрирующие процесс выполнения вредоносных действий, включая шифрование файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует PowerShell для совершения вредоносных действий. 

Список типов файлов, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .apj, .arw, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cr2, .craw, .crt, .crw, .csh, .csl, .csv, .dac, .DATA, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dwl, .dxb, .edb, .erbsql, .erf, .exf, .exp, .FAD, .fdb, .ffd, .fff, .fh, .fhd, .FORM, .fpx, .fxg, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .kdbx, .kpdx, .ldf, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pfx, .php, .png, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .PROG, .psafe3, .psd, .ptx, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .zip (231 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые директории и файлы: 

"AppData", "Application Data", "AppCache", "Temporary Internet Files", "INetCache", "ProgramData", "Program Files", "Microsoft", "Chrome", "ConnectedDevicesPlatform", "winnt", "boot", "Packages", "Mozilla", "Recycle", "setup", "install", "Thumbs.db", "Thumb.db", "temp", "tmp", "System Volume Information", "Microsoft", "Windows", "BlackSun", "x86"

Уничтожает все доступные локальные и внешние бэкапы, запрещает возобновление. Уничтожает файлы бэкапов следующих типов: 

.backup, .bco, .bkf, .bks, .dem, .gho, .gho, .iv2i, .tib, .tibx, .vbk, .vbm, .vhdx .vib, .vrb 

Файлы, связанные с этим Ransomware:
BlackSun.ps1 - название вредоносного файла;

BlackSun_README.txt - название файла с требованием выкупа; 

ioq3v72yf.dll - случайное название вредоносного файла; 

blacksun.jpg - изображение, заменяющее обои Рабочего стола. 

BlackSun_DRIVE_LOCAL_C

BlackSun_FILESON_LOCAL_C

BlackSun_BACKUPS_LOCAL_

BlackSun_TMPALL

BlackSun.log

BlackSun.log.zip

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\pictures\blacksun.jpg

C:\Users\User\AppData\Local\Temp\BlackSun_DRIVE_LOCAL_C

C:\Users\User\AppData\Local\Temp\BlackSun_FILESON_LOCAL_C

C:\Users\User\AppData\Local\Temp\BlackSun_TMPALL

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bsprj1020@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3ebab71cb71ca5c475202f401de008c8

SHA-1: e0afcf804394abd43ad4723a0feb147f10e589cd

SHA-256: e5429f2e44990b3d4e249c566fbf19741e671c0e40b809f87248d9ec9114bef9

Vhash: 2f04266c495dff557609a6b9b89dbefa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Udacha

Udacha Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $490 (0.013 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Vulkan Runtime.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34391
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.RansomHeur.tovnb
BitDefender -> Trojan.GenericKD.37610923
ESET-NOD32 -> Win64/Filecoder.DF
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Tnega!ml
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Delshad.Pgxf
TrendMicro -> TROJ_FRS.VSNW15I21
---

© Генеалогия: ✂ MedusaLocker >> Udacha 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине - в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .udacha 

Записка с требованием выкупа называется: ReadMe_Instruction.mht

Содержание записки о выкупе:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

>> PAY FAST 490$=0.013 btc <<

Price tomorrow will increase by 2 times if you do not pay today

BTC-address: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

To be sure we have the decryptor and it works you can send an email: udacha123yes@mail2tor.com and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

udacha123yes@mail2tor.com

TELEGRAM @udacha123yes

Attention!

* Do not rename encrypted files.

* Do not try to decrypt your data using third party software, it may cause permanent data loss.

* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

!!! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!

Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы.

Вы не сможете расшифровать его сами! Единственный метод восстановления файлов - это покупка уникального закрытого ключа.

Только мы можем дать вам этот ключ и только мы можем восстановить ваши файлы.

>> ПЛАТИ БЫСТРО 490$ = 0,013 btc <<

Цена завтра вырастет в 2 раза, если не заплатите сегодня

BTC-адрес: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email: udacha123yes@mail2tor.com и бесплатно расшифровать один файл.

Но этот файл не должен быть ценным!

Вы точно хотите восстановить свои файлы?

udacha123yes@mail2tor.com

TELEGRAM @ udacha123yes

Внимание!

* Не переименовывайте зашифрованные файлы.

* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к безвозвратной потере данных.

* Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_Instruction.mht - название файла с требованием выкупа;
B06.exe - название вредоносного файла/

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: udacha123yes@mail2tor.com
Telegram: @udacha123yes

BTC: bc1q8peeq9gx9nl28xnqfc5h6ec22rd3cm8h46nnjm

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 49fb0e5a3415155c24d6839250cd7fed

SHA-1: 69fa4c797df21b98740368c268cfd1919bf4a6e0

SHA-256: f2a155473c06ecad973676f1e2a8d228ab4a8adf32a87477c716f31fddf6cbaf

Vhash: 046096050d05050707751013z13z11z15z15z13z15z17z

Imphash: 51d2cd2fcbfe5f3135855c9d832278d4

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.