LockXX

LockXX Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритма AES-128 CTR и "X25519 key exchange", а затем требует написать на email вымогателей, чтобы выкупить дешифровщик и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Устанавливает для зашифрованных файлов атрибут "Read-only" (Только чтение). Написан на языке программирования GO (Golang). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.38544
BitDefender -> Trojan.Agent.GJBU
ESET-NOD32 -> A Variant Of Win64/Filecoder.LB
Kaspersky -> Trojan-Ransom.Win32.Encoder.wmz
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10bf91f7
TrendMicro -> Ransom.Win64.LOCKXX.THABEBD
---

© Генеалогия: BeijingCrypt (LockXXX)? ⇒ LockXX

Возможен переход вымогателей на другую разработку, основанную на Golang.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена во второй половине января 2024 г. Ориентирован на англоязычных и китайскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .lockxx

Записка с требованием выкупа называется: lockxx.recovery_data.hta

Содержание записки о выкупе (на английском):

The price depends on the speed at which you write to us . After payment , we will send you a decryption tool and assist you in decrypting all files 

Mail address ! 

chinahelp2023@nigge.rs 

datahelp2023@cyberfear.com 

Free decryption test as guarantee ! 

Integrity is our principle 

Before making the payment , you can send us a test file to prove that we are capable of recovering your data 

Attention ! 

Decryption of your files with the help of third parties may cause increased price 

Do not try to decrypt your data using third party software , it may cause permanent data loss 

Please do not (edit, delete, rename) any files , otherwise it cannot be restored 

ID 

dizI/y2N5Q4*****

Содержание записки о выкупе (на китайском):

价格取决于你给我们写信的速度 . 付款后 , 我们将向你发送解密工具 , 并协助你解密所有文件 

邮件地址 ! 

chinahelp2023@nigge.rs 

datahelp2023@cyberfear.com 

免费解密测试作为保证 ! 

诚信是我们的原则 

在付款之前 , 你可以向我们发送测试文件以证明我们有能力恢复你的数据 

注意 ! 

在第三方的帮助下解密你的文件可能会导致价格上涨 

请勿尝试使用第三方软件解密你的数据 , 这可能会导致数据永久丢失 

请不要 (编辑, 删除, 重命名) 任何文件 , 否则无法恢复文件 

ID 

dizI/y2N5Q4*****

Перевод записки на русский язык:

Цена зависит от скорости, с которой вы нам пишете. После оплаты мы вышлем вам инструмент для расшифровки и поможем расшифровать все файлы.

Почтовый адрес !

chinahelp2023@nigge.rs

datahelp2023@cyberfear.com

Бесплатный тест на расшифровку в качестве гарантии!

Честность – наш принцип

Перед оплатой вы можете отправить нам тест-файл, чтобы доказать, что мы способны восстановить ваши данные.

Внимание !

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены.

Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Пожалуйста, не изменяйте (не редактируйте, не удаляйте, не переименовывайте) какие-либо файлы, иначе их невозможно будет восстановить.

ID 

dizI/y2N5Q4*****

Другим информатором жертвы является файл изображения, заменяющий обои Рабочего стола. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

wmic shadowcopy delete /nointeractive

vssadmin delete shadows /All /Quiet

➤ Использует встроенное системное средство schtasks.exe для планирования выполнение команд и программ, добавляет и удаляет задачи из расписания, запускает и останавливает задачи по запросу, очищает журналы, перезапускает Windows, а также изменяет запланированные задачи.

Интересный скриншот кода, предоставленный исследователем rivitna: 

Отключает службы, мешающие шифрованию:  

vss, sql, svc$, memtas, mepocs, msexchange, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

Вырубает процессы, мешающие шифрованию: 

sqlservr.exe, sqlwriter.exe, sqlagent.exe, fdhost.exe,

reportingservicesservice.exe, omtsreco.exe, tnslsnr.exe, oracle.exe, emagent.exe, perl.exe, msaccess.exe, mysqld.exe, mysqld-nt.exe, msftesql.exe, mysqld_opt.exe, mydesktopservice.exe, winword.exe, excel.exe, wordpad.exe, outlook.exe, sqlbrowser.exe, winRAR.exe, 7-Zip.exe, Chrome.exe

Список типов файлов, подвергающихся шифрованию:

.0, .1, .2, .3, .4, .5, .6, .7, .7z, .8, .9, .990, .accdb, .adf, .arj, .asp, .aspx, .ba_, .back, .bah, .bak, .bal, .bco, .bk, .c, .cad, .cpp, .csv, .dat, .db, .dbf, .den, .dmp, .doc, .docx, .dsk, .dwg, .edat, .frm, .grf, .gz, .in, .ini, .json, .jsp, .kpr, .ldf, .mdb, .mdf, .mod, .myd, .myi, .ndf, .ns, .odb, .ora, .pdf, .php, .pptx, .prt, .psc, .psl, .pyc, .python, .pyw, .rar, .rbk, .rep, .scm, .shl, .sicck, .sin, .sjc, .sldprt, .sql, .tar, .tib, .txt, .vbk, .vdi, .vhd, .vhdx, .vib, .vmdk, .vmem, .vmsn, .vmx, .vswp, .wdb, .xls, .xlsx, .zip

Это документы MS Office, PDF, текстовые файлы, базы данных, бэкапы, файлы виртуальных машин, файлы программирования на Python, фотографии, файлы образов, архивы и пр. файлы, в том числе очень редкие. 

Пропускает, не шифрует файлы с расширениями: 

.386, .adv, .ani, .bat, .bin, .blf, .bmp, .cab, .chm, .cmd, .com, .content, .cpl, .cur, .deskthemepack, .diagcab, .diagefg, .diagpkg, .dll, .drv, .ess, .exe, .gho, .gif, .hds, .hip, .hta, .hxs, .icl, .ico, .ics, .idx, .iens, .jpg, .js, .jspx, .key, .lib, .lnk, .lock, .log, .mod, .mof, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pbk, .png, .pol, .prf, .psl, .regtrans-ras, .rll, .rom, .rtp, .sam, .sample, .scr, .sdi, .search-ns, .session, .shs, .snippet, .spl, .swf, .sys, .tdf, .theme, .themepack, .tmp, .trc, .ttf, .url, .vmsg, .win, .wpl, .wpx, .xml, .xsd, .xsl  

Пропускает, не шифрует файлы с именами: 

recovery data.txt, autorun.inf, boot.ini, bootmgr, bootsect.bak, bootfont.bin, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, ntuser.dat, ntuser.dat.log, ntuser.dat.log1, ntuser.dat.log2, ntuser.ini, thumbs.db 

Файлы, связанные с этим Ransomware:
lockxx.recovery_data.hta - название файла с требованием выкупа;
executable.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\executable.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\(0_O)###########

См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://fuckyou.ida123.com

Email: chinahelp2023@nigge.rs, datahelp2023@cyberfear.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: d156711735a2fb0992440a2cd0a19138 

SHA-1: c8c9645ae15012eb25e83841d87a3ac6c16344aa 

SHA-256: 79468940d42d217a815eca555b9d2efe72b4f2a53e47d29076c3adde5eb9c5af 

Vhash: 01603e0f7d1bz401=z 

Imphash: 9aebf3da4677af9275c461261e5abde3

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 xiaopao, rivitna
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Frivinho

Frivinho Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.1473766 BTC BTC, чтобы вернуть файлы. Оригинальное название: Frivinho. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> Generic.Ransom.HydraCrypt.40149811
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom_FileCoder.R002C0DAM24
---

© Генеалогия: ✂ Chaos + другой код >> Frivinho

Сайт "ID Ransomware" Frivinho пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Frivinho0

По данным исследователей из Symantec Security Center в конце расширения должны быть еще два символа и оно может выглядеть так: .Frivinho0>v

В результате анализа расширение на файлах было .Frivinho0

Так выглядят зашифрованные файлы:

Записка с требованием выкупа называется: PLS_READ_ME.txt

Содержание записки о выкупе:

Oops, what happend?

All of your files have been encrypted

Your computer was infected with Frivinho Ransomware. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin or Robux.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself  to find out how to buy Bitcoin.

Many of our customers have reported these sites to be fast and reliable:

Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC

Check this pastebin to get the my newest Bitcoin Adress: hxxps://pastebin.com/raw/wZnisRDV

And by cheking the pastebin, you can see more information about how you can pay.

Перевод записки на русский язык:

Ой, что случилось?

Все ваши файлы зашифрованы

Ваш компьютер был заражен Frivinho Ransomware. Ваши файлы зашифрованы, и вы не сможете их расшифровать без нашей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить нашу специальную программу для дешифрования. Эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера. Цена программы $1500. Оплата возможна в биткойнах или Robux.

Как мне заплатить, где я могу получить биткойны?

Покупка биткойнов различается по странам, поэтому вам лучше всего самим поискать в Google, чтобы узнать, как купить биткойны.

Многие из наших клиентов отмечают, что эти сайты работают быстро и надежно:

Coinmama — hxxps://www.coinmama.com Bitpanda — hxxps://www.bitpanda.com

Информация о платеже Сумма: 0.1473766 BTC

Проверьте этот pastebin, чтобы получить мой новый биткойн-адрес: hxxps://pastebin.com/raw/wZnisRDV

А проверив pastebin, вы сможете увидеть дополнительную информацию о том, как вы можете оплатить.

---

Адрес, по которому размещается актуальный email вымогателей:

Другим информатором жертвы является изображение, которое заменяет обои Рабочего стола. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PLS_READ_ME.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: frivicobaia@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f64a5c6fa180acaee93d4fac406c579b 

SHA-1: bacf88f16fe670ef2d87df154929c51b28b12263 

SHA-256: cb7c19b49efd25a4314129c9024c8e84ad9dd8acb45658ecf43c2d1fab775ca6 

Vhash: 23603615551b00714f0034 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Wessy

Wessy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп $100 в Litecoin или в активах Pet Simulator 99 Roblox, чтобы получить дешифровщик и вернуть файлы. Оригинальное название: Wessy. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38495
BitDefender -> Trojan.GenericKD.71263746
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.97%
Microsoft -> Ransom:MSIL/Filecoder.PKC!MSR
Rising -> Ransom.Chaos!8.12FB5 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Wwhl
TrendMicro -> TROJ_GEN.R002H0AAI24
---

© Генеалогия: родство выясняется >> Wessy

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wessy

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:

Don't worry, you can return all your files!

All your files like documents, photos, databases and other important are encrypted

What guarantees do we give to you?

You can send 3 of your encrypted files and we decrypt it for free.

send everything you have in ps99 to the user : pfftww

send everything you have in ps99 to the user : pfftww

(if you send less than $100 worth of ps99 titanics, huges, or gems please send $100 in litecoin to LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4)

You must follow these steps To decrypt your files :   

1) Write on uTox (hxxps://utox.org/) :E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E (our uTox contact ID)

2) Obtain Litecoin (You may have to pay some of the ransom with Litecoin

You may buy Litecoin from here hxxps://paybis.com/buy-litecoin/ when the ransom is paid in full then the decryptor tool will be placed onto your desktop.)

Dont do anything stupid...

We are watching

uTox contact ID: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin address: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Перевод записки на русский язык:

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, такие как документы, фото, базы данных и другие важные файлы, зашифрованы.

Какие гарантии мы вам даем?

Вы можете отправить 3 своих зашифрованных файла, и мы расшифруем их бесплатно.

отправьте пользователю все, что у вас есть в ps99: ***

отправьте пользователю все, что у вас есть в ps99: ***

(если вы отправите ps99 титаны или крипту на $100 в Litecoin на адрес ***)

Чтобы расшифровать файлы, надо выполнить следующие действия:

1) Напишите на uTox (hxxps://utox.org/): *** (наш контакт ID uTox)

2) Получите Litecoin (возможно, вам придется заплатить часть выкупа с помощью Litecoin).

Вы можете купить Litecoin здесь hxxps://paybis.com/buy-litecoin/. Когда выкуп будет выплачен полностью, инструмент расшифровки будет помещен на ваш рабочий стол.)

Не делайте глупостей...

Мы наблюдаем

uTox контакт ID: ***

Litecoin адрес: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа;
DonutLite1.2.1.exe - случайное название вредоносного файла;

svchost.exe - название вредоносного файла;

файл изображения, заменяющий обои Рабочего стола. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
uTox: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 57f8fbce24a06fa399c8690a6703a850 

SHA-1: 248bf857d4739f60fbb0f4e9dbd855f3cbf2d09f 

SHA-256: 2f9967e58f4c436c102a7de4c8e5b5aef61db1ddc0c5df601dc70b25b7416b46 

Vhash: 295036751511601a2b121031 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Tomas Meskauskas (PCrisk), petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WantToCry

WantToCry Ransomware

Want_To_Cry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует файлы на сетевых дисках (NAS QNAP и др.) и сетевых хранилищах (NAS Zyxel и др.), а затем требует выкуп от $300 до $1000 и больше в BTC, чтобы вернуть файлы. Оригинальное название: WantToCry. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие NAS-вымогатели >> WantToCry

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2024 г. и позже.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. Кроме файлов на сетевых ресурсах может шифровать файлы в расшаренных папках, доступных через сеть. При этом неважно, какая ОС стоит на компьютере, Windows или любая система на основе Linux. 

К зашифрованным файлам добавляется расширение: .want_to_cry

Записка с требованием выкупа называется: !want_to_cry.txt

Содержание записки о выкупе:

All your data has been encrypted  by --WantToCry-- r@n50mw@re

You can buy decryption of all files for 300 USD.

For this:

  Visit https://tox.chat/download.html

  Download and install qTOX on your PC.

  Open it, click "New Profile" and create profile.

  Click "Add friends" button and search our contact -

963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

  Send a message with this string: 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  Send 3 test files. These should be files of no more than 20-30 MB each. We do not accept download links from third-party resources. We do not accept very large files, such as database files.

In response, we will send payment instructions and decrypted files. Payment is made in the Bitcoin cryptocurrency.

Перевод записки на русский язык:

Все ваши данные зашифрованы --WantToCry-- r@n50mw@re

Вы можете купить расшифровку всех файлов за 300 долларов.

Для этого:

   Посетите https://tox.chat/download.html.

   Загрузите и установите qTOX на свой компьютер.

   Откройте его, нажмите «Новый профиль» и создайте профиль.

   Нажмите кнопку «Добавить друзей» и найдите наш контакт -

963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

   Отправьте сообщение с этой строкой:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

   Отправьте 3 тестовых файла. Это должны быть файлы размером не более 20-30 МБ каждый. Мы не принимаем ссылки для скачивания со сторонних ресурсов. Мы не принимаем очень большие файлы, например файлы баз данных.

В ответ мы вышлем инструкции по оплате и расшифрованные файлы. Оплата производится в криптовалюте Bitcoin.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Некоторые пострадавшие заметили, что WantToCry Ransomware появился после использования неофициального (похожего на официальный) установщика Zoom. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Все файлы с популярными расширениями, кроме системных. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключение: 

.exe, .bin и другие системные. 

Файлы, связанные с этим Ransomware:
!want_to_cry.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
qTOX: 963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support, Topic of Support, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.