0mega

0mega Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: 0mega. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется >> 0mega

Сайт "ID Ransomware" идентифицирует это как 0mega. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .0mega


Записка с требованием выкупа называется: DECRYPT-FILES.txt


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***


Скриншоты с сайтов вымогателей:

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: omegalock***.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WsIR

WsIR Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: WsIR1.1(1).exe.

---
Обнаружения:
DrWeb -> Trojan.Encoder.35362
BitDefender -> Gen:Variant.Symmi.97294
ESET-NOD32 -> Win32/Filecoder.OLA
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Kingsoft -> Win32.Troj.Generic.wj.(kcloud)

Lionic -> Trojan.Win32.Kolovorot.lpUa

Malwarebytes -> PUP.Optional.ChinAd
Microsoft -> TrojanDownloader:Win32/Emotet!ml
Rising -> Trojan.Generic@AI.99 (RDML:lW*

Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Syhu
TrendMicro -> TROJ_FRS.0NA103EP22
---

© Генеалогия: ??? >> WsIR

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в середине мая 2022, но дата компиляции — 10 апреля 2022 г.  Ориентирован на китайскоязычных пользователей, ничего неизвестно о  распространении по всему миру. Судя по используемому значку 易 основан на китайском ПО Easy Language Green Edition. 

К зашифрованным файлам добавляется расширение: .WsIR

Файлы могут быть зашифрованы повторно и получить двойное расширение: .WsIR.WsIR

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

现北京时间：2022年5月22日8时21分21秒你是该时间段中的此勒索！

Hello,我的电脑为什么会出现这个？

您现在你的文件都已经被加密了！

为什么会被加密？因为你点开了软件，你无法解密你的文件，除非获得正确秘钥！

如何联系我？

QQ联系：3384356874

QQ邮箱联系：3384356874@qq.com

您需要支付的赎金为下！

请敬情享受吧！

RMB：176

您的Key：

PHAKDILPDFJFPGNKGDHIPPLKJBAFBALMGAFBCHPAPCCOPCNOPNINACJADPFKAGLAOODKPHEHGIBPGCIB

OABNNJCGJJJPGCKLACGLHICBNMANPODPDBMFFKDOFELHOIAEANGAOAEPADODPCFGCDLLDNELAOHFJEID

PDMKAAGNEEKMNNCDIHPMBGNPHAIAFFHPMFADGFEMPGNNOOPHGEPHGGPGDAFANAGGCCNDHGHCOPKCMOFH

PCMCIIAKAHHMIBGMDKAGPLILKPAPKJJCPFLOIPCFPKFELLAKBCGIKFAPENAKIOFHLJJAIHAMKIOMILCD

AGFANKNFFMIPJMOFMKPLELBCOJALHHKIEFPCPNMCGANBLDALGHLLHDJPJBDFGMANKNAEJJHKAPNBFFMA

JLMBJLJPNEAFACOPPIONFJGHGLBDCPHKABCFLJMLDKNDPAHOJNCEONEMPHGLOIFEFJ

↑这个是你唯一的解密秘钥，如果你丢失了，你将永远不能解密你的文件！

如果你强制关机，你将受到严厉的惩罚，您不能使用任何手段关闭本程序！

绿色的是你的重要数据！

Key： ***

Перевод записки на русский язык:

Сегодня 22 мая 2022 года, по пекинскому времени в 8:21:21 вы атакованы ransomware!

Привет, почему это появилось на моем компьютере?

Теперь ваши файлы зашифрованы!

Почему они зашифрованы? Запустив программу, вы не сможете расшифровать файлы, если не получите правильный ключ!

Как связаться со мной?

Контакт QQ: 3384356874

Контакт QQ email: 3384356874@qq.com

Вам нужно заплатить выкуп!

Наслаждайтесь!

176 юаней

Твой ключ: 

***

Это ваш единственный ключ дешифрования, если вы его потеряете, то никогда не сможете расшифровать свои файлы!

Если вы захотите завершите работу, вы будете строго наказаны, и не сможете закрыть эту программу ни в коем случае!

Зеленый код важен для ваших данных!

Ключ: ***

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
WsIR1.1(1).exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\WsIR

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 3384356874@qq.com

QQ: 3384356874
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c76aecc1eb0b47fc261a80b9fc06fb75

SHA-1: 242f3cce8400a77ed62c99fe6f56e1d8b7cfa5b4

SHA-256: 3bae281a122628561deb145beffcb3b2c1b8ab51e0c96818ef7a1203738af5d4

Vhash: 085046655d555060204005200917z30e5z32z982z120a7z

Imphash: 4ffd26d581651ee9980129d50bc32409

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Jirehlov Solace
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Crimson Walrus

Crimson Walrus Ransomware

TuskLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с целью получения выкупа в # BTC, чтобы вернуть файлы. Оригинальное название: Crimson Walrus ransomware, Crimson Walrus 2.0. На файле написано: TuskLocker2.exe. 

---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.FM
Kaspersky -> Trojan-Ransom.Win64.Agent.dow
Malwarebytes -> Ransom.TuskLocker
Microsoft -> Ransom:Win32/Vigorf.A
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> ***
TrendMicro -> Ransom_Agent.R002C0WF422
---

© Генеалогия: ??? >> Crimson Walrus 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в первой половине мая 2022 г., Судя по сайту вымогателей, активность их группы якобы была уже с июня 2021 года. Но по сообщениям исследователей, этот сайт был просто скопирован у группы Babuk Ransomware для имитации собственной атаки. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам может добавляется расширение: .tusk

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:

I am the walrus. I have taken the liberty of protecting the data on your machine by encrypting it all.

After seeing how easy it was to gain access, I figured you needed the help to make sure no one else comes along and sees something they shouldn't.

However, if you need to access your data then you will have to pay me in order to decrypt it. It's just the cost of being so careless with so much important data.

Just get ahold of me at the page below with your provided UUID for reference and I'm sure we can work something out.

Flag : t4Ke_h3ed_0r_eLs3!

Contact : ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Перевод записки на русский язык:

Я морж. Я имел смелость защитить данные на вашем компьютере, зашифровав их все.

Увидев, как легко было получить доступ, я решил, что вам нужна помощь, чтобы убедиться, что никто другой не придет и не увидит то, что не должен.

Однако, если вам нужно получить доступ к вашим данным, вам нужно заплатить мне, чтобы расшифровать их. Это просто цена за небрежность с таким количеством важных данных.

Просто свяжитесь со мной на сайте ниже с вашим полученным UUID для справки, и я уверен, мы сможем что-то придумать.

Флаг: t4Ke_h3ed_0r_eLs3!

Контакт: ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Скриншоты с сайта вымогателей

 

 

 

 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Исследователи считают, что эта программа просто часть CTF. Но если вредоносная составляющая будет реализована, то программа-вымогатель может начать распространяться как вредоносная программа, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt - название файла с требованием выкупа;
TuskLocker2.exe - название вредоносного файла;

TuskLocker2.pdb - файл проекта вымогателей$

flag.txt.tusk, flag.txt.key - специальные файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\flag.txt.tusk

C:\flag.txt.key

C:\DECRYPT_YOUR_FILES.txt

C:\Users\Administrator\source\repos\TuskLocker2\x64\Release\TuskLocker2.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: ncpbxzcgdeprrbba7dgodmymdewy57yokkebuwhmuywiuz5kqjwepbad.onion

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6448d2e2242bd108faca7510760ed7b9

SHA-1: 90370a0820644ff403905b930f616c7ca3339ad0

SHA-256: 58e969a3aec430698e3b9fa692edcdbcf9529262f5d298913b19ed9dc73c6aa5

Vhash: 024066651d5515555053z42z16!z

Imphash: 64d6a4dc96a48d52c31164996d8d1793

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

После публикации появилось сообщение, что "это была задача CTF, которая никогда не использовалась реальными злоумышленниками".

Но по нашим правилам, будь то CTF или фейк-шифровальщик, симулятор или обучатель, это как и HiddenTear "обезьяны с гранатой", которые не должны причинять вред, но могут быть использованы потенциальными злоумышленниками для причинения вреда под видом игры или "обучающей" программы. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Kekpop

Kekpop Ransomware

Aliases: Kekware 

Variants: YourCyanide

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $500 в BTC, чтобы вернуть файлы. Оригинальное название: Kekpop. На файле написано: kekpop.cmd.
---
Обнаружения:
DrWeb -> ***

ALYac -> Trojan.BAT.Agent
BitDefender -> Trojan.GenericKD.50265580
ESET-NOD32 -> A Variant Of Generik.LKONBMI
Kaspersky -> HEUR:Trojan.BAT.Generic
Malwarebytes -> ***
Microsoft -> Trojan:Script/Wacatac.B!ml
Rising -> ***
Tencent -> Bat.Trojan.Generic.Ebzs
TrendMicro -> Ransom.BAT.KEKPOP.SMYXCEKAA
---

© Генеалогия: G0nnaC0pe >> Kekpop,  Kekware, YourCyanide (Cyn)

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .kekpop

Записка с требованием выкупа называется: ReadMe.html

Содержание записки о выкупе:

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Your files are encrypted by kekpop.

You can get them back by paying $500 to this btc address Ox9NHVG8NVFGHG4HHHKBV.

If you dont pay this fee your files will be lost forever.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Перевод записки на русский язык:

Ваши файлы зашифрованы kekpop.

Вы можете получить их обратно, заплатив $500 на этот биткойн-адрес Ox9NHVG8NVFGHG4HHHKBV.

Если вы не заплатите эту плату, ваши файлы будут утеряны навсегда.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует технологии Microsoft: CMD и PowerShell для атаки. 

Список типов файлов, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe.html - название файла с требованием выкупа; 
kekpop.cmd - название вредоносного файла; 

black.bat - простой командный файл;  

GetToken.exe - вредоносный файл, загружаемый через Discord;

ps1-файлы. 

Проект вымогателя недоработан, множество окон с командами, это видно на скриншотах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

hxxxs://cdn.discordapp.com/attachments/971160786015772724/971191444410875914/GetToken[.]exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: Ox9NHVG8NVFGHG4HHHKBV (ненастоящий)

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f190183b6a6f55daa406c25cf5da66d8

SHA-1: 89168542e0cec21bbafeafe39361994194576f61

SHA-256: ea81248fddbf9080018845bf7862b9ceb8ab942526c1adcf20030f043c57ad99

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 мая 2022: 

Сообщение >>

Мое сообщение >>

Расширение: <random>.cyn

Записки: YcynNote.txt, other.txt

Email: yourcyanide.help@gmail.com

Файлы: YourCyanide.cmd, 1.cmd, ycynlog.cmd

Результаты анализов: VT + AR

Обнаружения:

BitDefender -> Gen:Heur.Bat.1

DrWeb -> BAT.Siggen.179

Kaspersky -> HEUR:Trojan.BAT.Generic

Microsoft -> Trojan:Script/Wacatac.B!ml

Symantec -> Trojan.Gen.MBT

Tencent -> Bat.Trojan.Generic.Svgz

С помощью командного файла KillAVS.bat вырубает следующие защитные функции и антивирусные службы: 

Ahnlab Task Scheduler, AntiSpyware, AntiVirus Auto Protect Service, AntiVirus Client, AntiVirus Corporate Edition, AntiVirus Firewall Monitor Service, AntiVirus Server, Automatic Updates, ccEvtMGR, ccPwdSvc, ccSetMGR, cls, Core LC, DefWatch, ERSvc, eTrust Antivirus Job Server, eTrust Antivirus Realtime Server, eTrust Antivirus RPC Server, eventlog, helpsvc, InoRPC, InoRT, InoTask, McShield, mcupdmgr.exe, MonSvcNT, MpfService, MskService, NAV Alert, Nav Auto-Protect, navapsvc, netsvcs, Network Drivers Service, NProtectService, PC-cillin Personal Firewall, Personal Firewall Service, SAVScan, Security Center, SecurityCenter Update Manager, Serv-U, Sophos Anti-Virus, Sophos Anti-Virus Network, Spamkiller Server, SPBBCSvc, spoolnt, srservice, Sygate Personal Firewall Pro, SyGateService, Trend Micro Proxy Service, Trend NT Realtime Service, Unerase Protection, ViRobot Professional Monitoring, VirusScan Online Realtime Engine, vrmonsvc

---

Еще варианты: файлы YourCyanide.cmd, YourCyanide_obf.bat

Результаты анализов: VT + TG / VT + TG

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

Added later: Write-up by TrendMicro (on June 02, 2022)

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.