EvilNominatus

EvilNominatus Ransomware

Aliases: EvilNominatusCrypto, RozbehCrypt, EvilCrypt, RozbehRevenge

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем сообщает, что файлы будут заражены после трёх попыток ввода неверного кода. Оригинальное название: EvilNominatus. На файле написано: EvilNominatus.exe или  EvilNominatusCrypto.exe.
---

Обнаружения:
DrWeb -> Trojan.EncoderNET.32
BitDefender -> Trojan.GenericKD.47864209
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Ransom:MSIL/RozbehCrypt.PA!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10cfb5ab
TrendMicro -> Ransom_RozbehCrypt.R002C0DLR21
---
Обнаружения:
DrWeb -> Trojan.Siggen16.37072
BitDefender -> IL:Trojan.MSILZilla.12204
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.C
Kaspersky -> Trojan.MSIL.Agent.qwilkc
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Trojan:MSIL/EvilCrypt.PAA!MTB
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Ebqp
TrendMicro -> TROJ_GEN.R03FC0DAN22
---

© Генеалогия: HiddenTear >> EvilNominatus

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образцы этого крипто-вымогателя были найдены в конце декабря и во второй половине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: -Locked

Записка без требований выкупа написана на экране блокировки: 

Содержание записки о выкупе:

CryptoVirus Detected!  Ransom.NominatusStrike

your files will get infected  if you enter the wrong code 3 times!!! you can contact the Attacker and ask him for the key by entering the code we leave you alone!!! theres no way to remove this virus without code! when you restart we will attack to your Computer we disabled exe files , task manager, run.exe, regedit!! if you still think you can recover your files from safe mode you are stupid! 

Перевод записки на русский язык:

Обнаружен КриптоВирус! Ransom.NominatusStrike

ваши файлы будут заражены, если вы введете неверный код 3 раза!!! вы можете написать Атакующему и попросить у него ключ, введя код мы оставляем вас в покое!!! нет способа удалить этот вирус без кода! при перезагрузке мы атакуем ваш компьютер, мы отключили exe-файлы, диспетчер задач, run.exe, regedit!! если вы еще думаете, что можете вернуть ваши файлы из безопасного режима, вы глупы!

Комбинированные скриншоты

На них видно экран блокировки и зашифрованные файлы. 

Нет никаких контактов для всязи, возвожно находится в разработке или сделан для умышленного причинения вреда без возможности восстановления файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки системы. 

➤ Добавляется в Автозагрузку. Отключает редактор реестра. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

EvilNominatus.exe - название вредоносного файла;

RozbehSkullofMask.exe - название раннего файла проекта; 

EvilNominatusCrypto.pdb - название нового файла проекта; 
EvilNominatusCrypto.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\RozbehSkullofMask.exe

C:\Users\hannan\Documents\SharpDevelop Projects\RInjector\TRS\obj\Debug\EvilNominatusCrypto.pdb

C:\Users\Admin\AppData\Local\Temp\EvilNominatusCrypto.exe

C:\Users\User\Desktop\NSIS.lnk-Locked

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Bkhtyaryrwzbh@gmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a07ad47b052c812a2c2da5b1787855f4

SHA-1: bafda67a9dd19795584ed8679d3a0e5b36d2432a

SHA-256: a0fb8417720da120c09f19ad62030bf1dc7f51b74326582f2f9d4488d426a800

Vhash: 224036551511109f9131020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8e23d84e5c58270136539c4cb3e604a4

SHA-1: 4cc242e1f24af73d2a3e38e4ad103df0ae62d93c

SHA-256: 01cec0306b25849804ac2770d877423d9f00adfae6217c72842630d18c048ba4

Vhash: 21403655151110969181020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 13 февраля 2022 >>

Сообщение: 

ransomware removed from your Computer but files still encrypted you can now contact attacker Bkhtyaryrwzbh@gmail.com to get the decrypter

Перевод: 

ransomware удален с вашего компьютера, но файлы еще зашифрованы, вы можете написать хакеру на Bkhtyaryrwzbh@gmail.com, чтобы получить расшифровщик

---

Результаты анализов: VT + VT

Обнаружения: 

DrWeb -> Trojan.Encoder.10598

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.E, A Variant Of MSIL/Filecoder.EvilNominatus.E

Rising -> Ransom.EvilNominatus!8.136A4 (CLOUD)

TrendMicro -> TROJ_FRS.0NA103BG22

Вариант от 4 мая 2022:

Самоназвание: Nominatus Ransomware 2

Сообщение >>

Расширение не добавляется. 

Записка: NominatusRansomware2Message.txt

Email: Bkhtyaryrwzbh@gmail.com

Discord: Nominatus#1297 

Файл проекта: RozbehRevenge.pdb

Файл EXE: RozbehRevenge.exe

Результаты анализов: VT + IA + TG

Обнаружения: 

DrWeb -> Trojan.EncoderNET.37

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.H

Malwarebytes -> Ransom.FileCryptor

Содержание записки: 

Files has been encrypted with Nominatus Ransomware 2 Contact Creator of this ransomware on discord Nominatus#1297 on discord or contact his email Bkhtyaryrwzbh@gmail.com for more Information

Вариант от 31 мая 2022: 

Самоназвание: RozbehOfSatan Ransomware

Доп. название: Quax0r Ransomware

Сообщение >>

Расширение: не используется

Метка: LOCKEDBYROZBEHOFSATAN

Записка о выкупе написана в командной строке. 

Содержание сообщения: 

All files have been encrypted by NominatusCrypto ( Quax0r ) contact the creator of this virus on discord Nominatus#9251 for more information if you restart then your account will be useless! files cannot be decrypted without paying the ransom to the creator!! live or die? 

Файл проекта: C:\Users\sd\Documents\SharpDevelop Projects\Quax0r\obj\Debug\Quax0r.pdb

Строка запуска: 

cmd.exe /c assoc .exe=RozbehOfSatanFile && assoc .bat=RozbehOfSatanFile && assoc .cmd=RozbehOfSatanFile

Файл: Quax0r.exe

Результаты анализа: VT + TG + IA

Вариант от 13 июня 2022: 

Доп. название: Triclyde Ransomware

Сообщение >>

Записка о выкупе: всплывающее окно. 

Файл: Triclyde.exe (WindowsScan.exe)

Результат анализа: VT 

Обнаружения: 

DrWeb -> Trojan.Encoder.35481

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARR

TrendMicro -> Ransom.MSIL.NOMINATUS.THFAEBB

Вариант от 23 июня 2022: 

Сообщение >>

Файл: RozbehOfSatan.exe

Результат анализа: VT

Обнаружения: 

DrWeb -> Trojan.EncoderNET.40

ESET-NOD32 -> MSIL/Filecoder.ASC

TrendMicro -> Ransom.MSIL.NOMINATUS.THFBDBB

---

Здесь и далее вводится упрощенный способ добавления новых вариантов — без ссылок. Это нужно чтобы уменьшить размер статьи и ускорить ввод информации. 

---

Вариант от 15 июля 2022: 

Сообщение: twitter.com/pcrisk/status/1548997471090708481

Расширение: нет

Доп. название: StormByte Ransomware

Записка: на экране

Файл EXE: StormByte.exe

IOC: VT: MD: 22a975eb038011095e8b9ff9a3078ffa

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Karsten Hahn
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Night Sky

NightSky Ransomware

Night Sky Ransomware

NightSky Hand-Ransomware

NightSky Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные взломанных компьютеров компаний с помощью алгоритма AES-128 (режим CBC с жёстко заданным IV), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Night Sky. На файле написано: update.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34862

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.NightSky.A

BitDefender -> Trojan.GenericKD.47837092
ESET-NOD32 -> Win64/Filecoder.EQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.pcn
Malwarebytes -> Ransom.NightSky
Microsoft -> Ransom:Win64/NightSky.A!MTB
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Ransom.Nightsky
Tencent -> Win32.Trojan.Trojan.Mblu
TrendMicro -> Ransom.Win64.NIGHTSKY.YXCAGZ
---

© Генеалогия: ✂ Rook >> Night Sky

Сайт "ID Ransomware" идентифицирует это как NightSky. 

Информация для идентификации

Активность этого крипто-вымогателя началась в конце декабря 2021 - начале января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .nightsky

Записка с требованием выкупа называется: NightSkyReadMe.hta

Содержание записки о выкупе:

NIGHT SKY

--------------------------------------------------------------------------------

WARNING!

Your company has been hacked by us.

Internal files have been stolen and encrypted by us.

But don't worry, we didn't destroy them, and we won't leak data right away.

If your company is willing to meet our requirements,

we will decrypt the data and destroy the stolen data without data leakage.

--------------------------------------------------------------------------------

Steal list 

All files in the file server  297GB 

ERP System Database and file  513GB(Include ARL,AAL,AVL,AIL,AKIJ domain) 

Mail server data(Include emails of all company directors within two years)  47GB 

Gitlab code base  2.7GB 

business system databases(Including company and customer data)  45GB 

All website Cpanel database backup    107GB 

Personal computer desktop file(210,000 office documents within one year)  62GB 

All employee resumes 

--------------------------------------------------------------------------------

Notice 

Do not contact third party to restore the file, the file cann't be decrypted without the key.The third party only contact us to buy the key at a lower price to earn the difference 

--------------------------------------------------------------------------------

Our condition 

Contact us within a week to get a price 

We may reconsider our price if you contact and pay within 3 days 

We will deactivate the communication account after a week,then no one can contact us anymore 

--------------------------------------------------------------------------------

Contact information 

Web Chat: 

You can use the username and password provided by us to login to the chat room to communicate with us.

URL:hxxxs://contact.nightsky.cyou

username:user-****---

Email: 

You can contact us by email.

EMAIL ADDRESS:***@nightsky.cyou

--------------------------------------------------------------------------------

Data release website 

Where we use to disclose the data of customers who do not pay 

hxxx://gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion 

--------------------------------------------------------------------------------

Remark 

How to access dark web sites:hxxxs://www.youtube.com/watch?v=NpXEQHDOA5o 

Перевод записки на русский язык:

NIGHT SKY

ПРЕДУПРЕЖДЕНИЕ!

Мы взломали вашу компанию.

Внутренние файлы украдены и зашифрованы нами.

Но не волнуйтесь, мы не уничтожили их, и не будем сразу же сливать данные.

Если ваша компания готова соответствовать нашим требованиям,

мы расшифруем данные и уничтожим украденные данные без слива данных.

Список украденного

Все файлы на файловом сервере 297GB

База данных системы ERP и файл 513 ГБ (включая домены ARL, AAL, AVL, AIL, AKIJ)

Данные почтового сервера (включая email-адреса всех директоров компании за два года) 47 ГБ

Кодовая база Gitlab 2,7 ГБ

базы данных бизнес-системы (включая данные компании и клиентов) 45 ГБ

Бэкап всей базы данных Cpanel сайта 107GB

Файл рабочего стола персонального компьютера (210 000 офисных документов в течение года) 62 ГБ

Все резюме сотрудников

Уведомление

• Не связывайтесь с третьей стороной для восстановления файла, файл не может быть расшифрован без ключа. Третья сторона связывается с нами только для того, чтобы купить ключ по более низкой цене, чтобы заработать на разнице.

Наше условие

• Свяжитесь с нами в течение недели, чтобы узнать цену

• Мы можем пересмотреть нашу цену, если вы свяжетесь и оплатите в течение 3 дней.

• Мы деактивируем учетную запись для связи через неделю, и никто больше не сможет с нами связаться.

Контакты

• Веб-чат: 

Вы можете использовать предоставленные нами имя пользователя и пароль, чтобы войти в чат и общаться с нами.

Email:

Вы можете связаться с нами по электронной почте.

EMAIL-АДРЕС: ***

Сайт публикации данных

• Его мы используем для раскрытия данных клиентов, которые не платят

***

• Замечание

• Как получить доступ к дарквеб-сайтам: ***

Скриншот начальной страницы сайта вымогателей:

Первые утечки (скриншоты уменьшены):

 

 

 

Для связи с пострадавшими вымогатели используют ПО Rocket.Chat. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Все файлы, кто тех, что находятся в списках исключений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:

.dll, .exe

Пропускаемые папки:

AppData

Boot

Windows

Windows.old

Tor Browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

Program Files

Program Files (x86)

#recycle

Файлы, связанные с этим Ransomware:
NightSkyReadMe.hta - название файла с требованием выкупа;
update.exe (update.txt) - название вредоносного файла; 

8c1a72991fb04dc3a8cf89605fb85150ef0e742472a0c58b8fa942a1f04877b0.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://contact.nightsky.cyou

Tor-URL: hxxx://gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion 

Rocket.Chat: hxxxs://rocket.chat/***

Email: <victim_name>@nightsky.cyou

См. ниже в обновлениях другие адреса и контакты. 

Сайт вымогателей недоступен для обзора. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9608c8b6c8d80fdc67b99edd3c53d3d2

SHA-1: 37b11d3d7b7a1d18daafd6c63b33526860aaefe6

SHA-256: 8c1a72991fb04dc3a8cf89605fb85150ef0e742472a0c58b8fa942a1f04877b0

Vhash: 0560a6050d0505060d177019z1hz13z1fz

Imphash: d9335d46ba7ec00ed7f9cc1bc2720cc8

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f9481915373852640150ffe98e7218ab

SHA-1: 682fa27b596bab8fc5b7f2a0c002447e6e2f1f6b

SHA-256: 1fca1cd04992e0fcaa714d9dfa97323d81d7e3d43a024ec37d1c7a2767a17577

Vhash: 0960b6655d1575167d177019z12z1cz13z1fz

Imphash: 385281fb8c3ae6c79cc58d91e9de2e21

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rook Ransomware - ноябрь 2021

NightSky Ransomware - январь 2022

Pandora Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up

Added later: NightSky Ransomware – just a Rook RW fork

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 Jiří Vinopal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PyCipher 2022

PyCipher 2022 Ransomware

CryptoCipher Py Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.003 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Язык программирования: Python.
---
Обнаружения:
DrWeb -> Python.Encoder.49
BitDefender -> Gen:Variant.Tedy.66613
ESET-NOD32 -> Python/Filecoder.DM
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.FileCryptor.Python.Generic
Microsoft -> Ransom:Win64/CryptoLocker.MK!MTB
Rising -> Ransom.Agent!1.D430 (CLASSIC)
Symantec -> Ransom.Raasnet
Tencent -> Win32.Trojan.Filecoder.Liqt
TrendMicro -> TROJ_FRS.0NA104A122
---

© Генеалогия: предыдущие Python-вымогатели >> PyCipher 2022

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2021 - начале января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CRYPT 

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:

Do not close this message !!!

Hi, don't worry. All of your files have been encrypted. 

To return your files, you need to send 0.003 bitcoin 

to the address 1NNLcGozxxNmFypZB4rgnmvuCju2pxfAQQ 

if within 10 hours there is no payment, all your files will be deleted ...

You can pay through various crypto-exchanges (Binance, Coinbase and others), 

crypto exchanges or from your personal bitcoin wallet.

After payment you will receive a decoder and an unlock key and all your 

files will be unlocked. 

Do not try to unlock it yourself, you will only waste time, and after 

10 hours all files will be deleted. A strong encryption method is used 

for encryption.

Communication after payment

telegram: @crypto_support_id_43274

Перевод записки на русский язык:

Не закрывайте это сообщение!!!

Привет, не волнуйтесь. Все ваши файлы были зашифрованы.

Чтобы вернуть ваши файлы, вам нужно отправить 0.003 биткойна

по адресу 1NNLcGozxxNmFypZB4rgnmvuCju2pxfAQQ

если в течение 10 часов не будет оплаты, все ваши файлы будут удалены...

Оплатить можно через различные криптобиржи (Binance, Coinbase и другие),

криптобиржи или из вашего личного биткойн-кошелька.

После оплаты вы получаете декодер и ключ разблокировки и все ваши

файлы будут разблокированы.

Не пытайтесь разблокировать его сами, вы только потратите время, а после

10 часов все файлы будут удалены. Используется надежный метод шифрования

для шифрования.

Связь после оплаты

telegram: @crypto_support_id_43274

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
4kvideodownloader_4.18_x64Crack.exe (yzelus2gx.dll) - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\_MEI9442\Crypto\Cipher

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @crypto_support_id_43274
BTC: 1NNLcGozxxNmFypZB4rgnmvuCju2pxfAQQ

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 346b3c83128f1918b162694eec15963d

SHA-1: 8c363d01e47d6dffd66044b1a34a78c5a1aac59c

SHA-256: d6c39d7d9be421b66517d195180f7156c52c3fadba440d5d3d26ff6b1d45aa1a

Vhash: 027076655d15551575504013z30065mz11fz

Imphash:5324ac1e1bceff69ec8d4435c50bfe0e

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

XYZconfig

XYZconfig Ransomware

JuanJoRodriguez Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 100-150 XMR, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: config.exe. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34855
BitDefender -> Gen:Variant.Razy.921131
ESET-NOD32 -> A Variant Of WinGo/Filecoder.AY
Kaspersky -> Trojan-Ransom.Win32.Encoder.owc
Malwarebytes -> Ransom.FileCryptor.GO
Microsoft -> Trojan:Win32/Mamson.A!ac
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Taev
TrendMicro -> TROJ_FRS.0NA103A222
---

© Генеалогия: ✂ Hive, Decaf + Malicious Library >> XYZconfig

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .xyz

Записка с требованием выкупа называется: _Readme_.txt

Содержание записки о выкупе:

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?

All of your files are now protected by a strong encryption method.

If you have valuable data don't waste your time, because there is NO other way to get your files back, except through my decryption tool that you can buy following the below steps.

FOLLOW THESE STEPS:

1)Send 100 XMR (Monero) to 4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj (you can buy following the official guide https://www.getmonero.org/community/merchants/)

2)Send your Transaction Key to prove the payment via mail to juanjoorodriguez@protonmail.com and juanjo.rodriguez@tutanota.com

3)You will receive the instructions to your mail on how to decrypt your files within 24 hours (If you can not wait 24 hours make a payment of 150 XMR instead, you will receive the instructions in 2 hours)

KEEP IN MIND THAT FOLLOWING THESE STEPS WILL GIVE YOUR FILE BACK 100%, ANY OTHER METHOD WILL NOT WORK.

YOUR UNIQUE ID:

775173446b657547393345615377594f3659393535666f7a52***

Перевод записки на русский язык:

НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com

Что случилось с вашими файлами?

Все ваши файлы теперь защищены надежным методом шифрования.

Если у вас есть ценные данные, не тратьте свое время, т.к. нет другого способа вернуть ваши файлы, только с моим инструментом дешифрования, который вы можете купить, сделав следующие шаги.

СЛЕДУЙ ЭТИМ ШАГАМ:

1)Отправьте 100 XMR (Monero) на 4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj (купить можно по официальному руководству https://www.getmonero.org/community/merchants/)

2) Отправьте ключ транзакции для подтверждения платежа по почте на juanjoorodriguez@protonmail.com и juanjo.rodriguez@tutanota.com.

3)Вы получите на почту инструкцию как расшифровать ваши файлы в течение 24 часов (Если вы не можете ждать 24 часа, сделайте вместо этого платеж в размере 150 XMR, вы получите инструкцию в течение 2 часов)

ПОМНИТЕ, ЧТО СЛЕДУЮЩИЕ ЭТИ ШАГИ ВЕРНУТ ВАШ ФАЙЛ НА 100%, ЛЮБОЙ ДРУГОЙ МЕТОД НЕ РАБОТАЕТ.

ВАШ УНИКАЛЬНЫЙ ID:

775173446b657547393345615377594f3659393535666f7a52***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Распространяется с помощью сайтов пиратского ПО, перепакованных и заражённых инсталляторов. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Readme_.txt - название файла с требованием выкупа;
config.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\config.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: juanjoorodriguez@protonmail.com, juanjo.rodriguez@tutanota.com
XMR (Monero):  4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: cf351819c69c94fbdaec24cb8c30990b

SHA-1: 4911d5384ca3720c48a0c8ba47b1edba33dfa0ff

SHA-256: 25d18c3823a3b210a18e69c823ce4c59fab298c315ac2a5d891027921d1c6d7e

Vhash: 026066655d5d15541az28!z

Imphash: c7269d59926fa4252270f407e4dab043

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.