# Nefilim, Nephilim **id-ransomware.blogspot.com/2020/03/nefilim-ransomware.html** ## Nefilim Ransomware Nefilim Doxware Variants: Nephilim, Offwhite, Sigareta, Telegram, Nef1lim, Mefilin, Trapget, Merin, Fusion, Infection, Milihpen, Derzko, Gangbang, Kiano, Mansory ### (шифровальщик-вымогатель, публикатор) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-128 + RSA2048, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: Nefilim. На файле написано: что попало. Написан на языке Go. Вымогатели, распространяющие Nefilim-Nephilim, угрожают опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. На момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали, но в марте 2020 они создали сайт для публикаций украденных данных. -- **Обнаружения:** **DrWeb -> Trojan.Encoder.31246, Trojan.MulDrop11.51385, Trojan.Encoder.31414, Trojan.Encoder.31491,** Trojan.Encoder.31726, Trojan.MulDrop12.50861, Trojan.PWS.Siggen2.49647, Trojan.Encoder.32146, Trojan.Encoder.32161, Trojan.Encoder.32607, Trojan.Encoder.32608, Trojan.Encoder.32811, Trojan.Encoder.33298, Trojan.Encoder.33444 ... **BitDefender -> Trojan.GenericKD.42843933, Gen:Trojan.Heur.RP.cmHfaSRzti** **ALYac -> Trojan.Ransom.Nefilim** **Avira (no cloud) -> TR/RedCap.iheqe, TR/RedCap.ufyno, Trojan.GenericKD.44062454** **ESET-NOD32 -> Win32/Filecoder.Nemty.D, Win32/Filecoder.Nemty.J, A Variant Of Win32/Filecoder.Nemty.M ...** **Kaspersky -> Trojan.Win32.Zudochka.edv, Trojan-Ransom.Win32.Cryptor.ddi** **Malwarebytes -> Ransom.Nefilim** **Rising -> Ransom.NEFILIM!1.C3E7 (CLOUD), Trojan.MalCert!1.C3E8 (CLOUD)** **Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence, Ransom.Nefilim!gm1** **Tencent -> Win32.Trojan.Filecoder.Eerg, Win32.Trojan.Filecoder.Ahyi, Win32.Trojan.Filecoder.Tbik** **TrendMicro -> Ransom.Win32.NEFILIM.A, Ransom.Win32.NEFILIM.B, Ransom_Genasom.R011C0DJB20** **VBA32 -> TrojanRansom.JSWorm.d** ----- **© Генеалогия:** **[JSWorm >](https://id-ransomware.blogspot.com/2019/01/jsworm-ransomware.html)** **[Nemty (Nemty 2.5) > Nefilim >](https://id-ransomware.blogspot.com/2019/08/nemty-ransomware.html)** **[KarmaCypher, KARMA_V2](https://id-ransomware.blogspot.com/2021/07/karma-cypher-ransomware.html)** Изображение — логотип статьи К зашифрованным файлам добавляется расширение: .NEFILIM Также используется маркер файлов: NEFILIM **Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там** могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину - середину марта 2020 г. Штамп даты: 10 марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: NEFILIM-DECRYPT.txt ----- **Содержание записки о выкупе:** All of your files have been encrypted with military grade algorithms. We ensure that the only way to retrieve your data is with our software. We will make sure you retrieve your data swiftly and securely when our demands are met. Restoration of your data requires a private key which only we possess. A large amount of your private files have been extracted and is kept in a secure location. If you do not contact us in seven working days of the breach we will start leaking the data. After you contact us we will provide you proof that your files have been extracted. To confirm that our decryption software works email to us 2 files from random computers. You will receive further instructions after you send us the test files. jamesgonzaleswork1972@protonmail.com pretty_hardjob2881@mail.com dprworkjessiaeye1955@tutanota.com **Перевод записки на русский язык:** Все ваши файлы зашифрованы с алгоритмами военного уровня, Мы ручаемся, что единственный способ восстановить ваши данные — с помощью нашей программы, Мы позаботимся о том, чтобы вы быстро и безопасно вернули ваши данные, когда наши требования будут выполнены. Для восстановления ваших данных требуется закрытый ключ, которым владеем только мы. Большое количество ваших личных файлов было извлечено и хранится в безопасном месте. Если вы не свяжетесь с нами в течение семи рабочих дней с момента нарушения, мы начнем передавать данные. После того, как вы обратитесь к нам, мы предоставим вам подтверждение того, что ваши файлы можно вернуть. Чтобы подтвердить, что наша программа для дешифрования работает, отправьте нам 2 файла со случайных компьютеров. Вы получите дальнейшие инструкции после отправки нам тест-файлов. jamesgonzaleswork1972@protonmail.com pretty_hardjob2881@mail.com dprworkjessiaeye1955@tutanota.com **Технические детали** Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью emailспама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, вебинжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные [способы распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html) Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html) Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по [методу 3-2-1.](https://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html) ➤ Использует генератор случайного ключа для каждого файла. ➤ Использует чужие подписанные сертификаты для exe-файлов. ----- **Список файловых расширений, подвергающихся шифрованию:** Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. **Файлы, связанные с этим Ransomware:** NEFILIM-DECRYPT.txt - название файла с требованием выкупа .exe - случайное название вредоносного файла **Расположения:** \Desktop\ -> \User_folders\ -> \%TEMP%\ -> C:\Users\Administrator\Desktop\New folder\Release\NEFILIM.pdb **Записи реестра, связанные с этим Ransomware:** См. ниже результаты анализов. **Мьютексы:** Den'gi plyvut v karmany rekoy. My khodim po krayu nozha... **Скриншоты от исследователей:** В Nefilim используется код, почти идентичный коду из Nemty версии 2.5. Также имеется зуб на корейскую антивирусную компанию Ahnlab, как было в Nemty и JSWorm Ransomware. В строках есть слова на русском языке, написанные английскими буквами, а также упоминания антивирусных компаний AhnLab и SophosLabs, написанные с ошибками. **Сетевые подключения и связи:** Email: jamesgonzaleswork1972@protonmail.com pretty_hardjob2881@mail.com dprworkjessiaeye1955@tutanota.com BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. **Результаты анализов:** Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3/5e711feff8b8ff27a548893e)** 🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/f91a7c13-6b02-4634-8130-7698b67a0883)** ⴵ **[VMRay analysis >>](https://www.vmray.com/analyses/d4492a9eb36f/report/overview.html)** Ⓥ VirusBay samples >> � MalShare samples >> ----- 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. Присылайте образцы. **=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===** Nemty 1.x - август 2019 Nemty Revenge 2.0 - ноябрь 2019 Nefilim Ransomware - март 2020 См. ниже обновления с элементами идентификации. **=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===** **Обновление от 19 марта 2020:** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1240394454306926593) Расширение: .NEFILIM Мьютекс: Den'gi plyvut v karmany rekoy. My khodim po krayu nozha... Файл: kinodomino.exe ➤ Обнаружения: DrWeb -> Trojan.Encoder.31414 BitDefender -> Generic.Ransom.Nemty.5E50AD57 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.F Malwarebytes -> Ransom.Nefilim Microsoft -> Ransom:Win32/Nemty.MMV!MTB **Обновление от 24 марта 2020:** Вымогатели создали сайт "Corporate Leaks" для публикации украденных данных тех компаний и бизнеспользователей, которые отказались платить выкуп. [Статья на сайте BleepingComputer >>](https://www.bleepingcomputer.com/news/security/three-more-ransomware-families-create-sites-to-leak-stolen-data/) ----- **Обновление от 25 марта 2020:** [Пост в Твиттере >>](https://twitter.com/fbgwls245/status/1245184543218229248) Расширение: .NEPHILIM Записка: NEPHILIM-DECRYPT.txt god.jpg - изображение, заменяющее обои Рабочего стола Email-ransom: Bernardocarlos@tutanota.com Deanlivermore@protonmail.com robertatravels@mail.com Маркер зашифрованных файлов: NEPHILIM URL-leaks: hxxx://hxt254aygrsziejn.onion/ Email-leaks: Derekvirgil@protonmail.com Samanthareflock@mail.com Gerardbroncks@tutanota.com ----- ➤ Мьютекс: ONA MOYA ROZA I YA EE LUBLUUUUUUUU, ONA MOYA DOZA - SEGODNYA ZATYANU Сайт leaks: hxxx://corpleaks.net Сайт Tor: hxxxp://hxt254aygrsziejn.onion Email: SamanthaKirbinron@protonmail.com DenisUfliknam@protonmail.com RobertGorgris@protonmail.com Файл: sync.bad.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/eacbf729bb96cf2eddac62806a555309d08a705f6084dd98c7cf93503927c34f/detection) **[HA +](https://www.hybrid-analysis.com/sample/eacbf729bb96cf2eddac62806a555309d08a705f6084dd98c7cf93503927c34f?environmentId=100)** **[IA +](https://analyze.intezer.com/#/analyses/df582b51-60db-46a5-8401-6e54905b0cb1)** **[VMR +](https://www.vmray.com/analyses/eacbf729bb96/report/overview.html)** **[AR](https://app.any.run/tasks/3f4203d0-3b5e-43b3-815c-0137110052f7/)** ➤ Обнаружения: DrWeb -> Trojan.Encoder.31726 Avira (no cloud) -> TR/RedCap.pdjht BitDefender -> Gen:Heur.Trickbot.3 ESET-NOD32 -> A Variant Of Generik.BZKRWVJ McAfee -> GenericRXKC-OA!86E048D2EAE9 TrendMicro -> TROJ_FRS.VSNW04E20 **Обновление от 12 мая 2020:** Штамп даты: 30 апреля 2020. Расширение: .OFFWHITE Записка: OFFWHITE-MANUAL.txt scam.jpg - изображение, заменяющее обои Рабочего стола ➤ Мьютекс: ONA MOYA ROZA I YA EE LUBLUUUUUUUU, ONA MOYA DOZA - SEGODNYA ZATYANU Сайт leaks: hxxx://corpleaks.net Сайт Tor: hxxx://hxt254aygrszie.jn.onion Email: PepperTramcrop@protonmail.com TigerLadentop@protonmail.com JeromeRotterberg@protonmail.com [Результаты анализов: AR +](https://app.any.run/tasks/d763a012-c314-4dea-8efa-fb5b2469de16/) **[VT +](https://www.virustotal.com/gui/file/9c6b020769101b8274ec0814628a42efb45fce1798a3d5abf35a78021ec3eca4/detection)** **[VMR](https://www.vmray.com/analyses/9c6b02076910/report/overview.html)** ----- **Обновление от 28 мая 2020:** Штамп даты: 30 апреля 2020. [Пост в Твиттере >>](https://twitter.com/petrovic082/status/1265990022605475841) Расширение: .OFFWHITE Записка: OFFWHITE-MANUAL.txt Изображение, заменяющее обои Рабочего стола: scam.jpg Leaks-URL: hxxx://corpleaks.net TOR-URL: hxxx://hxt254aygrsziejn.onion Email: KeithTravinsky1985@protonmail.com HermioneHatchetman@protonmail.com WilliamShrieksword@protonmail.com Файл EXE: winnit.exe [Результаты анализов: AR +](https://app.any.run/tasks/39a3b303-aea4-4bbb-b5f5-4918fa89b712/) **[VT +](https://www.virustotal.com/gui/file/e7782335cc26b9362ec4525d23f0e6c1bf32b0cadcfa2d95f4955aed2e350cfd/detection)** **[JSB](https://www.joesandbox.com/analysis/233851/0/html)** **Обновление от 1 июня 2020:** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1267472278348062722) Расширение: .SIGARETA ----- Записка: SIGARETA RESTORE.txt Файл проекта: C:\define path\pahan\Release\SIGARETA.pdb Маркер файлов: SIGARETA Новый мьютекс: moya mama govorit: sina, ti bezdelnik. a mne kak to pohui, ya kury rasteniya ;) Email: DineshSchwartz1965@protonmail.com RupertMariner1958@protonmail.com StephanForenzzo1985@protonmail.com URL leaks: hxxx://corpleaks.net Tor URL: hxxx://hxt254aygrsziejn.onion Файл EXE: red.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/24ada19b269279612370bdf16f2becc1d5b7e0f69821050e2d9b48cfc874dca0/detection) **[HA +](https://www.hybrid-analysis.com/sample/24ada19b269279612370bdf16f2becc1d5b7e0f69821050e2d9b48cfc874dca0?environmentId=100)** **[IA +](https://analyze.intezer.com/#/analyses/8a62f61c-a5b5-4bea-80b3-ebe60c2c8709)** **[AR +](https://app.any.run/tasks/25cf071e-6038-48ef-b202-8bce341eda63#)** **[TG](https://tria.ge/reports/200601-wlx4aga8px/behavioral1)** -- ----- ➤ Содержание записки: Two things have happened to your company. ================== All of your files have been encrypted with military grade algorithms. The only way to retrieve your data is with our software. Restoration of your data requires a private key which only we possess. ================== Information that we deemed valuable or sensitive was downloaded from your network to a secure location. We can provide proof that your files have been extracted. If you do not contact us we will start leaking the data periodically in parts. ================== To confirm that our decryption software works email to us 2 files from random computers. You will receive further instructions after you send us the test files. We will make sure you retrieve your data swiftly and securely and that your data is not leaked when our demands are met. If we do not come to an agreement your data will be leaked on this website. Website: hxxx://corpleaks.net TOR link: hxxx://hxt254aygrsziejn.onion Contact us via email: DineshSchwartz1965@protonmail.com RupertMariner1958@protonmail.com StephanForenzzo1985@protonmail.com **Обновление от 15 июня 2020:** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1272484919227420672) Расширение: .TELEGRAM Записка: TELEGRAM-RECOVER.txt Email: EdsonEpsok@protonmail.com, Alfredhormund@protonmail.com, timothymandock@tutanota.com Новый мьютекс: na mne prigaet zhopa, pamc, pamc, pamc, pamc, pamc, ya vse [Результаты анализов: VT +](https://www.virustotal.com/gui/file/004F67C79B428DA67938DADEC0A1E1A4/detection) **[HA +](https://www.hybrid-analysis.com/sample/eb9a7ce77f7475b7652a66e548af6d7271ccadb35f2f947a4dfe63e522274374?environmentId=120)** **[VMR](https://www.vmray.com/analyses/eb9a7ce77f74/report/overview.html)** ----- **Обновление от 24 июня 2020:** [Пост в Твиттере >>](https://twitter.com/xiaopao80087499/status/1275687236936306688) Расширение: .TELEGRAM Записка: TELEGRAM-RECOVER.txt Email: Pameladuskhock@protonmail.com Tamarabuildpop@protonmail.com GilbertoPortaless@tutanota.com URL: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion [Результаты анализов: VT +](https://www.virustotal.com/gui/file/706a4b0e0b4fd4a2347e0c3ee1281182a04b4a89631aa934e6b48673c463fba4/detection) **[IA](https://analyze.intezer.com/#/analyses/625c1282-d23a-4ddc-93ba-cbca730dd514)** **Обновление от 9 июля 2020:** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1282789130422886401) Расширение: .NEFILIM Записка: NEFILIM-DECRYPT.txt URL: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion Email: bobbybarnett2020@protonmail.com friedashumes@protonmail.com markngibson10@protonmail.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/8501eb770da38523728b8cecc73cb49c863d368ed1d047fd2c25771b921fdb06/detection) **[HA +](https://www.hybrid-analysis.com/sample/8501eb770da38523728b8cecc73cb49c863d368ed1d047fd2c25771b921fdb06?environmentId=100)** **[IA](https://analyze.intezer.com/analyses/49634c4a-8490-4237-b65c-8e2dcb607367)** ➤Обнаружения: DrWeb -> Trojan.Encoder.32096 BitDefender -> Trojan.GenericKD.34145812 ESET-NOD32 -> A Variant Of Generik.MWSLZGA ----- Kaspersky > Trojan Ransom.Win32.Encoder.jmf Rising -> Ransom.Encoder!8.FFD4 (CLOUD) Symantec -> Downloader Tencent -> Win32.Trojan.Encoder.Pfjj TrendMicro -> TROJ_FRS.VSNTGB20 **Обновление от 14 июля 2020:** [Пост в Твиттере >>](https://twitter.com/malwrhunterteam/status/1283344679925415936) Расширение: .NEF1LIM Записка: NEF1LIM-DECRYPT.txt Сайт: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion Email: AlanMorbenhal@protonmail.com Killianoprahh@protonmail.com MonicaTuskmarka@tutanota.com Файл alt.exe. Подписанный образец. [Результаты анализов: VT +](https://www.virustotal.com/gui/file/c2b9f3b84e3e990e2c225e05ea65e7a3aaaf5a688864d0ee68ed2eece557fac0/detection) **[IA +](https://analyze.intezer.com/analyses/e7ffe535-d3ce-427e-ae67-d2ac826308df)** **[HA +](https://www.hybrid-analysis.com/sample/c2b9f3b84e3e990e2c225e05ea65e7a3aaaf5a688864d0ee68ed2eece557fac0/5f0f046862ba5b75381f9036)** **[AR +](https://app.any.run/tasks/5c1c2f62-018a-4232-bd5c-7913627e6de5/)** **[TG](https://tria.ge/200813-9dxdx6s52x/behavioral1)** ➤ Обнаружения: DrWeb -> Trojan.Encoder.32146 ALYac -> Trojan.Ransom.Nefilim BitDefender -> Trojan.GenericKD.43496098 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.H Malwarebytes -> Ransom.Nefilim Microsoft -> Ransom:Win64/NefiCrypt.MK!MTB Rising -> Trojan.MalCert!1.C912 (CLOUD) Symantec -> Trojan.Gen.2 TrendMicro -> Ransom.Win64.NEFILIM.AA **Обновление от 1 августа 2020:** [Пост в Твиттере >>](https://twitter.com/iamwinstonm/status/1289614314484064262) Расширение: .NEF1LIM Записка: NEF1LIM-DECRYPT.txt Сайт: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion contact us via email: Email: laraholmort@protonmaill.com Geenakormann@protonmail.com ChiaraKolkmann@tutanota.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/f9ed3c070a2731acbfef6d4b2af980b6e922b2dda0e9227e02f4b4f3821f4b17/detection) **[IA](https://analyze.intezer.com/#/files/f9ed3c070a2731acbfef6d4b2af980b6e922b2dda0e9227e02f4b4f3821f4b17)** ----- **Обновление от 26 августа 2020:** [Пост в Твиттере >>](https://twitter.com/joakimkennedy/status/1298554039240732672) Расширение: .NEF1LIM [Результаты анализов: VT +](https://www.virustotal.com/gui/file/0bafde9b22d7147de8fdb852bcd529b1730acddc9eb71316b66c180106f777f5/detection) **[JSB](https://www.joesandbox.com/analysis/279962/0/html)** **Обновление от 1 сентября 2020:** [Пост в Твиттере >>](https://twitter.com/demonslay335/status/1305620578569728000) Расширение: .MEFILIN Записка: MEFILIN-README.txt Маркер файлов: MEFILIN **Обновление от 21 сентября 2020:** [Пост в Твиттере >>](https://twitter.com/Kangxiaopao/status/1307950280886026241) [Пост в Твиттере >>](https://twitter.com/demonslay335/status/1308058796254736384) [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1308482003445129218) Расширение: .TRAPGET Маркер файлов: TRAPGET Записка: TRAPGET-INSTRUCTION.txt Email-1: befittingdavid@protonmail.com luizunwrite2020@protonmail.com paologaldini2020@tutanota.com --Email-2: Mariajackson2020williams@protonmail.com MariaJackson2019williams@protonmail.com StephanVeamont1997C@tutanota.com ----- URL: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion [Результаты анализов: VT +](https://www.virustotal.com/gui/file/e3dfc0485c5ecbeeb9a71473a25a6a8cdf616b7f05d66788ed6e6ade%20%2076aaf1af/detection) **[VMR +](https://www.vmray.com/analyses/e3dfc0485c5e/report/overview.html)** **[IA](https://analyze.intezer.com/analyses/42b9387a-6005-4730-9fe5-538ea3c23545)** **Обновление от 13 сентября 2020:** [Пост в Твиттере >>](https://twitter.com/siri_urz/status/1315633418017796097) Расширение: .MERIN Записка: MERIN-DECRYPTING.txt Email: Johnmoknales@protonmail.com Thomposmirk@protonmail.com Jeremynorton@tutanota.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/e508f4cda8e32c9b0b6112865b955ff88fbc5b2cfdd27cc09121108a782badc5/detection) **[IA](https://analyze.intezer.com/#/files/e508f4cda8e32c9b0b6112865b955ff88fbc5b2cfdd27cc09121108a782badc5)** **Обновление от 7 ноября 2020:** [Пост в Твиттере >>](https://twitter.com/demonslay335/status/1324835483302744064) Расширение: .FUSION Записка: FUSION-README.txt Маркер файлов: FUSION Сайт: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion Email: markZ9910@protonmail.com donald972@protonmail.con Yess99334412@tutanota.com ----- **Обновление от 9 декабря 2020:** [Сообщение >>](https://twitter.com/demonslay335/status/1337069322343211011) Расширение: .INFECTION Маркер файлов: INFECTION Записка: INFECTION-HELP.txt Email: christopherlampar1990@tutanota.com rodtherry1985@tutanota.com lewisldupre@protonmail.com URL: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion Файл: aes.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/c81c2c539ccba4c38add72e271fe63a2e389f2f645050289257fc6af4f47a82e/detection) **[HA +](https://www.hybrid-analysis.com/sample/c81c2c539ccba4c38add72e271fe63a2e389f2f645050289257fc6af4f47a82e?environmentId=100)** **[VMR +](https://www.vmray.com/analyses/c81c2c539ccb/report/overview.html)** **[TG](https://tria.ge/201210-bknpcabj6e/behavioral1)** ➤ Обнаружения: DrWeb -> Trojan.Encoder.33298 ALYac -> Gen:Variant.Bulz.232846 Avira (no cloud) -> TR/Agent.lesdm BitDefender -> Gen:Variant.Bulz.232846 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.I Kaspersky -> Trojan-Ransom.Win32.SuspFile.d Microsoft -> Trojan:Win32/Wacatac.B!ml Symantec -> Downloader Tencent -> Win32.Trojan.Filecoder.Dvzl ----- **Вариант от 3 февраля 2021:** [Сообщение >>](https://twitter.com/malwrhunterteam/status/1356712363995627524%20) Расширение: .MILIHPEN Записка: MILIHPEN-INSTRUCT.txt Мьютекс: MILIHPEN **Вариант от 3 февраля 2021:** [Сообщение >>](https://twitter.com/malwrhunterteam/status/1356714157035446274) Расширение: .DERZKO Записка: DERZKO-HELP.txt Мьютекс: DERZKO **Вариант от 5 марта 2021:** [Сообщение >>](https://twitter.com/demonslay335/status/1367898100753461252) Расширение: .GANGBANG Маркер файлов: GANGBANG Записка: GANGBANG-NOTE.txt Email: Jeremyspineberg11@tutanota.com GeromeSkinggagard1999@tutanota.com Jeremyspineberg11@protonmail.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/2e434bd96b08293786cd010883adfeacce5a30f5743d89c5187f38966b2e5d21/detection) **[IA](https://analyze.intezer.com/analyses/fff0b387-5be7-4fab-90ad-d584d983a8d8)** ➤ Обнаружения: DrWeb -> Trojan.Encoder.32607 BitDefender -> Gen:Variant.Ransom.Nefilim.6 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.L Malwarebytes -> Malware.AI.3980850489 Rising -> Ransom.Encoder!8.FFD4 (CLOUD) Tencent -> Win32.Trojan.Falsesign.Dwtm TrendMicro -> TROJ_FRS.VSNTCN21 **Вариант от 20 апреля 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1384826809150181378) Версия на языке Go. Расширение: .BENTLEY Записка: BENTLEY-HELP.txt Email: BENTLEY@icloud.com Сайт: hxxx://corpleaks.net Tor-URL: hxxx://hxt254aygrsziejn.onion Файл подписан: S.O.M GmbH [Результаты анализов: VT +](https://www.virustotal.com/gui/file/a4d9cf67d111b79da9cb4b366400fc3ba1d5f41f71d48ca9c8bb101cb4596327/detection) **[IA](https://analyze.intezer.com/analyses/f0776081-6f3b-4ced-bf92-257aaa48f16d)** ➤ Обнаружения DrWeb -> Trojan.Encoder.33444 BitDefender -> Gen:Variant.Bulz.232846 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.M ----- Microsoft > Ransom:Win32/Nemty.STA Rising -> Trojan.MalCert!1.D23C (CLOUD) Symantec -> Trojan.Gen.MBT TrendMicro -> Ransom_Nemty.R002C0DDK21 **Вариант от 13 мая 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1393168372087410695) Расширение: .NEFILIM Записка: NEFILIM-HELP.txt [Результаты анализов: VT +](https://www.virustotal.com/gui/file/511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390/detection) **[IA](https://analyze.intezer.com/files/511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390)** ➤ Обнаружения DrWeb -> Trojan.Encoder.33945 ALYac -> Trojan.Ransom.Nefilim BitDefender -> Trojan.GenericKD.36895898 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.M TrendMicro -> Ransom.Win64.NEFILIM.SMA **Вариант от 12 июня 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1403612023636647936) Расширение: .KIANO Записка: KIANO-HELP.txt Email: michaeldrumman1977@tutanota.com jamescowworkingsa1988@tutanota.com michaeldrumman1977@protonmail.com Файл: mma.exe [Результаты анализов: VT](https://www.virustotal.com/gui/file/45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6/detection) ➤ Обнаружения DrWeb -> Trojan.Encoder.34021 BitDefender -> Trojan.GenericKD.37085840 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.I Kaspersky -> Trojan-Ransom.Win32.SuspFile.n TrendMicro -> TROJ_FRS.VSNTFC21 **Вариант от 17 июня 2021:** [Сообщение >>](https://twitter.com/petrovic082/status/1405580157629472769) Расширение: .MANSORY Записка: MANSORY-MESSAGE.txt Email: selawilsen2021@tutanota.com dennisdqalih35@tutanota.com josephpehrhart@protonmail.com Сайт утечек: hxxx://corpleaks.net TOR-сайт: hxxx://hxt254aygrsziejn.onion ----- ➤ Обнаружения DrWeb -> Trojan.Encoder.34043 BitDefender -> Trojan.GenericKD.37123924 Malwarebytes -> Ransom.Nemty Microsoft -> Ransom:Win32/NefilimGo.STA TrendMicro -> TROJ_GEN.R002H0DFH21 **Вариант от 25 июня 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1408942300244287490) Расширение: .f1 Записка: f1-HELP.txt Файл: xxx.exe [Результаты анализов: VT](https://www.virustotal.com/gui/file/245844af9b89e3b65126c6c8470f406c0d19d8cb85ee38a6091846efe10e3f45/detection) ➤ Обнаружения DrWeb -> Trojan.Encoder.34087 ESET-NOD32 -> A Variant Of Win32/Filecoder.Nemty.M TrendMicro -> Ransom.Win32.NEFILIM.SMJC **Вариант от 2 сентября 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1433645689456582663) Расширение: .LEAKS Записка: LEAKS!!!DANGER.txt Email: Dwightschuh@tutanota.com, Joannbeavers@protonmail.com, Ralphshaver@onionmail.org **Вариант от 27 октября 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1453262988790620161) Расширение: .PUSSY Записка: PUSSY!!!DANGER.txt Email: Angiemerryman@tutanota.com, Robertoferris@protonmail.com, Allenmalone@onionmall.org ----- Файл: xxx.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/148845af1fc1221f27992cac24273aada38ef2482624850897bce87413f79888/) **[TG](https://tria.ge/211027-jaa19aahb7/behavioral1)** ➤ Содержание записки: Two things have happened to your company. ================================================== Gigabytes of archived files that we deemed valuable or sensitive were downloaded from your network to a secure location. When you contact us we will tell you how much data was downloaded and can provide extensive proof of the data extraction. You can analyze the type of the data we download on our websites. If you do not contact us we will start leaking the data periodically in parts. ================================================== We have also encrypted files on your computers with military grade algorithms. If you don't have extensive backups the only way to retrieve your data is with our software. Restoration of your data with our software requires a private key which only we possess. ================================================== To confirm that our decryption software works send 2 encrypted files from random computers to us via email. You will receive further instructions after you send us the test files. We will make sure you retrieve your data swiftly and securely and your data that we downloaded will be securely deleted when our demands are met. If we do not come to an agreement your data will be leaked on this website. Website: hxxx://corpleaks.net TOR link: hxxx://hxt254aygrsziejn.onion Contact us via email: Angiemerryman@tutanota.com Robertoferris@protonmail.com Allenmalone@onionmail.org **=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===** ``` Thanks: MalwareHunterTeam, Michael Gillespie, GrujaRS Andrew Ivanov (author) Lawrence Abrams, Petrovic, xiaopao to the victims who sent the samples ``` ----- [© Amigo-A (Andrew Ivanov): All blog articles. Contact.](https://id-ransomware.blogspot.com/p/contact.html) -----