RedTeam

RedTeam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email с вымогателями, чтобы узнать как заплатить выкуп и расшифровать файлы. На файлах написано: ewin.exe и elast.exe. Группа вымогателей: Red Team. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34363
BitDefender -> Generic.Ransom.Babuk.!s!.G.2501B74B
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.3155384457
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Babuk!1.D7A0 (CLASSIC)

Symantec -> Ransom.Babuk

Tencent -> Win32.Trojan.Filecoder.Lhxd
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---

© Генеалогия: Babuk >> RedTeam

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .REDTM

Кроме того, в зашифрованных файлах есть маркер: Hello from redTM

Записка с требованием выкупа называется: HowToDecryptYourFiles.txt

Содержание записки о выкупе:

===================

Hello from RED TEAM

===================

Your files has been encrypted and can only be decrypted by using our special decryptor.

Private and sensitive company's data will be published shortly, therefore we should reach an agreement to avoid this.

We recommend the authorized person to contact our support urgently to address this issue.

Support email:

alphasupport@onionmail.org

Reserve email:

alphareserve@tuta.io

4reserve@tuta.io

Don't modify encrypted files and don't try any third-party decryptors, it will damage files and decryption will be impossible!

=====

redTM

=====

Перевод записки на русский язык:

====================

Привет от RED TEAM

====================

Ваши файлы были зашифрованы и могут быть расшифрованы только нашим специальным расшифровщиком.

Частные и конфиденциальные данные компании будут опубликованы в ближайшее время, поэтому мы должны договориться, чтобы избежать этого.

Мы рекомендуем уполномоченному лицу срочно обратиться в нашу службу поддержки для решения этой проблемы.

Email поддержки:

alphasupport@onionmail.org

Резервный email адрес:

alphareserve@tuta.io

4reserve@tuta.io

Не изменяйте зашифрованные файлы и не пытайтесь использовать сторонние расшифровщики, это повредит файлы и расшифровка будет невозможна!

=====

redTM

=====

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., кроме тех, что  находятся в списке пропускаемых директорий и файлов. 

Пропускает следующие директории и файлы: 

AppData

Boot

Windows

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

ProgramData

All Users

bootmgr

ntldr

#recycle

.REDTM

Файлы, связанные с этим Ransomware:
HowToDecryptYourFiles.txt - название файла с требованием выкупа;
ewin.exe - название вредоносного файла (более новый файл, чем elast.exe);

elast.exe - название вредоносного файла. 

  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: alphasupport@onionmail.org, alphareserve@tuta.io, 4reserve@tuta.io
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: b1506fec2b3988ff33fb5e6c5076439d

SHA-1: 295b9010c3eb13496b3a1379e73c5d2317c2134d

SHA-256: 3a64d8f4f91013a46b8114092a5d691a93a9e559be43f9f7b4ceb3bd6a1a1876

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 344d23c036cf33a82cf9a454a90ff274

SHA-1: 2a650979c1272dd52a3f4374e722f7a1acc72b06

SHA-256: d57f4a81dcbfd938b8beca24957ea0854a0fe93dcea5d0f24e94412d485de00c

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Datastor2021, DamaCrypt

Datastor2021 Ransomware

DamaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов X25519 и ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2022 г., но мог быть активен и раньше. Ориентирован на турецкоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .damacrypt

Фактически используется составное расширение по шаблону: .<email>.damacrypt

Пример известного расширения: .datastor2021@gmail.com.damacrypt

Записка с требованием выкупа называется: DECRYPT.txt

Содержание записки о выкупе:

Tum dosyalar guclu algoritmalar X25519 ve ChaCha20 ile sifrelenir.

Bizimle datastor2021@gmail.com e-posta yoluyla iletisime gecin.

Kimliginiz: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Bitcoin'le sifre cozme icin odeme yapmanız gerekir. Fiyat, bizimle ne kadar hızlı iletisim kurdugunuza baglıdır.

odeme isleminden sonra size sifre cozme aracını gonderecegiz.

sifre cozme garantimiz nedir?

odemeden once bize ucretsiz sifre cozme icin 3 adede kadar test dosyası gonderebilirsiniz. Dosyaların toplam boyutu 2Mb'den az (arsivlenmemis) olmalı ve dosyalar degerli bilgiler (veritabanları, yedekler, buyuk excel sayfaları vb.) icermemelidir

Dikkat!

sifreyi cozmeden once herhangi bir para odemeyin. dosyaları test edin.

Hicbir aracıya GuVENMEYİN. size yardım etmeyecekler ve dolandırıcılık kurbanı olabilirsiniz. bize e-posta gondermeniz yeterlidir, size her adımda yardımcı oluruz.

Diger e-postaları yanıtlamayın. YALNIZCA bu e-posta size yardımcı olabilir.

sifrelenmis dosyaları yeniden adlandırmayın.

ucuncu taraf yazılımları kullanarak verilerinizin sifresini cozmeye calısmayın, bu kalıcı veri kaybına neden olabilir.

Dosyalarınızın ucuncu kisilerin yardımıyla sifresinin cozulmesi taraflar fiyatın artmasına neden olabilir (ucretlerini bize eklerler) veya bir dolandırıcılıgın kurbanı olabilirsiniz.

Перевод записки на русский язык:

Все файлы зашифрованы мощными алгоритмами X25519 и ChaCha20.

Свяжитесь с нами по email datastor2021@gmail.com.

Ваш идентификатор: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Вы должны заплатить за расшифровку биткойнами. Цена зависит от того, как быстро вы напишете нам.

После оплаты мы вышлем вам инструмент для расшифровки.

Какая наша гарантия расшифровки?

Вы можете отправить нам до 3-х тестовых файлов для бесплатной расшифровки перед оплатой. Общий размер файлов должен быть менее 2 Мб (без архива) и файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.)

Внимание!

Не платите деньги до получения пароль расшифровки. Проверьте файлы.

НЕ доверяйте никаким агентам. Они не помогут и вы можете стать жертвой мошенничества. Просто отправьте нам email и мы поможем вам на каждом этапе.

Не отвечайте на другие письма. ТОЛЬКО этот email может помочь вам.

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, так как это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою цену к нашей) или вы можете стать жертвой мошенничества.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datastor2021@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Play

Play Ransomware

Play Hand-Ransomware

Play Extortion Group

Variants: FinDom 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на серверах компаний, организаций и частных лиц с помощью комбинации алгоритмов, а затем тупо оставляет текстовый файл с email-адресом, видимо для того, чтобы пострадавшие  написали на него и узнали, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Play

Сайт "ID Ransomware" идентифицирует это как Play. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были из Германии. 

К зашифрованным файлам добавляется расширение: .play

Записка с требованием выкупа не использовалась, вместо нее на пострадавшем компьютере оставлялся readme-файл с email-адресом вымогателей. 

Содержание текстового файла:
gyeceeidia7y@gmx.com


✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Play Ransomware перед шифрованием разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый другой фрагмент. 

Если пострадавшие компании или организации не платят выкуп в течении установленного срока выплаты (например, 1 неделя), то украденные персональные данные (включая личную информацию о гражданах, удостоверения личности, номера паспортов, финансовые документы и мн. др.) могут быть проданы или опубликованы на сайтах Даркнета. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы. 

Также шифруются резервные файлы в синхронизированном облаке. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gyeceeidia7y@gmx.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 ноября 2022:

Сообщение на форуме >>

Email: ***@gmx.de

Tor-URLs:

mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion

k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion

Информация от 6 декабря 2022:

Хакерско-вымогательская группа атаковала и взломала серверы технологического центра Digipolis в Антверпене, отвечающего за различные городские службы и установила срок в 1 неделю для выплаты выкупа. Кажется специалисты Digipolis смогли восстановить работу центра без уплаты выкупа. 

Скриншот с сайта Play Ransomware group, свидетельствует о масштабах атак этой группы. Пострадавшие предпочитают замалчивать об инцидентах. 

Вариант от 22 декабря 2022:

Предполагаемое родство. 

Сообщение на форуме >>

Расширение: .FinDom

Записка: OPEN.txt
Email: findomswitch@fastmail.pw
Содержание записки: только email-адрес вымогателей. 

=== 2023 ===

Информация от 9 февраля 2023:

Хакерско-вымогательская группа 23 января 2023 атаковала и взломала серверы производителя сетевого оборудования A10 Networks (штат Калифорния, США). Группа вымогателей Play добавила A10 Networks на свой сайт, угрожая утечкой файлов, которые она украла во время вторжения. 

Статья об этом >>

Информация от 19 апреля 2023:

Хакерско-вымогательская группа теперь использует инструменты Grixba и VSS Copying Tool для более продвинутых атак. 

Инструмент Grixba, предназначенный для перечисления пользователей и компьютеров в домене, используется злоумышленниками для режима сетевого сканирования и кражи информации, в котором используются WMI, WinRM, удалённый реестр и удалённые службы, а также для определения ПО, работающего на сетевых устройствах. Grixba проверяет наличие антивирусных программ и программ безопасности, наборов EDR, инструментов резервного копирования и инструментов удаленного администрирования, а также офисных приложений и DirectX, что позволяет определить тип сканируемого компьютера. Все собранные данные сохраняет в файлах CSV, сжимает их в ZIP-архив, а затем эксфильтрирует на C2-сервер злоумышленников. Эта информация помогает им планировать следующие шаги атаки.

Инструмент VSS Copying Tool позволяет злоумышленникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной библиотеки AlphaVSS.NET и похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.

Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Crypt130

Crypt130 Ransomware

Crypt130 Scareware

(фейк-шифровальщик, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью комбинации алгоритмов ROT13 и AES Rijindael, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Crypt130. На файле написано: c.exe. 
---
Обнаружения:
DrWeb -> Trojan.Renamer.121
BitDefender -> Gen:Trojan.Mardom.PN.10
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARZ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Malware.AI.3989420076
Microsoft -> Trojan:Win32/Mardom!mclg
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be5681
TrendMicro -> Ransom_Crypren.R002C0PCV23
---

© Генеалогия: родство выясняется >> Crypt130

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К фейк-зашифрованным файлам добавляется расширение: _encrypted

Примеры: 

.docx_encrypted

.jpeg_encrypted

.jpg_encrypted

.lnk_encrypted

.pdf_encrypted

.png_encrypted

.rar_encrypted

.rtf_encrypted

.txt_encrypted

.url_encrypted

.zip_encrypted

На самом деле, файлы не шифруются. 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Your files have been ecrypted with ransomware 256 bits encrypt secure sssl aiorithm rot 13..:

your personil file have downloaded into my secure server buletprof. every important .borwser. cookes. games...

i can restored you file open if you payed.

i encrypted files you can not open due ssl encrypt rot 13 aes rijindael algorithm miliary file,

how to restored my files back??

and i will erase form my server jpg txt all externsion file secure shred wipe full double method.

email infommatioen cotact dfercvypt files rot 13 back nromal:

my mail inqueres: crypt130@sharklasers.com

cherk btc tamseaction: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

serach the btc into mail aders dectpyion software will sent on youmail perosnal.

if you can turn pc of it will come back u fuck bit he no easpcae

reemember your file encrypnt by me.....

contaoct to me th e decytpon price decrypt file price amount for btc wallet encrypt transact on

i secrypt cheap for youu other is espensive do not pay otheri!!....

contact us. fast?

negotiate price: crypt130@sharklasers.com

If yuo not deside to pay ranson faiel wl be shared deep web dark web hacker

do you knouw tor?? is dep web aces avoid censoreship by all

hacker sharcerdit card info and paswored and bankging info

quick I! paym now for files be erased secure secure removed from our server bed et prof

we ar kind with ofer wil notkeep you files forever if paeyd

Перевод записки на русский язык:
Ввиду неимоверного количества ошибок и опечаток в оригинальном тексте, перевод приблизительный.

Ваши файлы зашифрованы с помощью ransomware 256 бит шифрования безопасного алгоритма sssl rot 13..:
Ваши личные файлы были загружены на мой защищенный сервер пуленепробиваемые. все важные .браузер. куки. игры...
Я могу восстановить ваш файл, если вы заплатите.
Я зашифровал файлы, которые вы не можете открыть из-за ssl шифрования rot 13 aes rijindael алгоритма военного файла,
Как восстановить мои файлы обратно?
и я сотру с моего сервера jpg txt все расширение файла безопасный shred wipe полный двойной метод.
email information contact dfercvypt files rot 13 back normal:
my mail адрес: crypt130@sharklasers.com
проверьте транзакцию btc: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD
переведите btc на почтовый адрес, программа расшифровки будет отправлена на ваш почтовый ящик.
если вы можете повернуть пк он вернется к вам нахуй он бит он не морской пейзаж
запомните ваш файл зашифрован me.....
свяжитесь со мной расшифровка цена расшифровать файл цена сумма для btc кошелек шифровать транзакция на
я шифрую дешево для вас другие есть es pensive не платите другим!!!....
свяжитесь с нами. быстро?
договориться о цене: crypt130@sharklasers.com
Если вы не желаете платить выкуп, вы будете делиться с хакерами в глубокой паутине темной паутины.
знаете ли вы tor??? это dep web aces избежать цензуры всех
хакер sharcerdit информация карты и пароль и банковская информация
быстро я! платите сейчас за файлы будут стерты безопасно безопасно удалены с нашего сервера кровать и т.д.
мы добры с ofer не будет держать вас файлы навсегда, если заплатил

---

Как сообщил добровольный исследователь, для расшифровки достаточно ввести слово Pass и немного подождать. Это демонстрируется на анимированном изображении ниже. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся фейк-шифрованию:
.docx, .jpeg, .jpg, .lnk, .pdf, .png, .rar, .rtf, .txt, .url, .zip

Это документы MS Office, PDF, текстовые файлы, фотографии, ярлыки, веб-ссылки, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note> - внутренний текст с требованием выкупа;

<random>.exe - случайное название вредоносного файла;
c.exe - название вредоносного файла (использует иконку Discord).  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt130@sharklasers.com
BTC: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 421ed51ff27bb5c8dc7696d0c1479298

SHA-1: e865419cdd49791ab1c9e612e5840875dae37b5c

SHA-256: cd41ed86dd2b59459c6e241c5ab3d210f8bd6f12129c1ff838c7d1557797bd40

Vhash: 255036551511f07222294250

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 KdssSupport
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.