1/33 Hakbit, Thanos id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html Hakbit Ransomware Thanos Ransomware Hakbit (Thanos) NextGen: Variants: Abarcy, Corona, Ravack, Energy, Pulpit, Narumi, 777 et al. Thanos-based Ransomware (шифровальщик-вымогатель) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES, а затем требует выкуп от 0.03 до 3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Файл может называться: firefox.exe или chrome32.exe, opera32.exe, firefox.exe, server.exe, client.exe и пр. Разработка: Hakbit кодируется в .NET. --- В большинстве случаев, где использовался шифровальщик Hakbit, файлы можно было расшифровать. Позже стал использоваться более новый вариант, использующий шифрование с алгоритмом RSA. Сервис "ID Ransomware" стал идентифицировать его как Thanos, в котором расшифровка без закрытого RSA-ключа невозможна. --- Обнаружения: DrWeb -> Trojan.Siggen8.54093, Trojan.MulDrop11.30182, Trojan.EncoderNET.4, Trojan.Encoder.31029, Trojan.Siggen9.15292, Trojan.Encoder.33405, Trojan.Encoder.33390 ALYac -> Trojan.Ransom.Hakbit BitDefender - Trojan.Ransomware.GenericKDS.41983308, IL:Trojan.MSILZilla.6860, Trojan.GenericKD.32996926, Trojan.GenericKD.41982566, ESET-NOD32 -> A Variant Of MSIL/Agent.THY, A Variant Of MSIL/Filecoder.WZ, A Variant Of MSIL/Filecoder.Thanos.A TrendMicro -> Ransom_Stupid.R002C0DAR20, Ransom.MSIL.HAKBIT.A --- http://id-ransomware.blogspot.com/2019/11/hakbit-ransomware.html https://translate.google.ru/translate?hl=ru&tab=wT&sl=ru&tl=en&u=https%3A%2F%2Fid-ransomware.blogspot.com%2F2019%2F11%2Fhakbit-ransomware.html 2/33 © Генеалогия: Ransomware Builder (позже его назвали Thanos Ransomware Builder) >> Hakbit > Hakbit NextGen: Abarcy, Ravack, Corona, Energy, Pulpit, Cryp, Rastar и другие безымянные > Thanos (новые варианты) > Prometheus, Spook Изображение — логотип статьи К зашифрованным файлам добавляется расширение: .crypted Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Выдает себя за файлы браузеров Google Chrome, Firefox, Opera. Записка с требованием выкупа называется: HELP_ME_RECOVER_MY_FILES.txt Содержание записки о выкупе: Atention! all your important files were encrypted! to get your files back send 300 USD worth in Bitcoins and contact us with proof of payment and your Unique Identifier Key. We will send you a decryption tool with your personal decryption password. Where can you buy Bitcoins: https://www.coinbase.com https://localbitcoins.com Contact: hakbit@protonmail.com. https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html https://1.bp.blogspot.com/-kvifXt-wZ-U/XcMhzeQ_hgI/AAAAAAAAQOg/qYJRP7jtb80AvtPGSshFy94cezB6DyolACLcBGAsYHQ/s1600/hakbit-logo.png https://3.bp.blogspot.com/-g1khX78dPVo/WyNq6za-WMI/AAAAAAAAKz4/Jw7rid06qoAqXR3Q0hnbkblRfwOfN_ESgCLcBGAs/s1600/gen_info.png https://1.bp.blogspot.com/-UWzgsfvA0DU/XcMKELIxSTI/AAAAAAAAQOI/jrD_l4gDZtMkSUsufpQofdZuFIZNyIctACLcBGAsYHQ/s1600/note.png 3/33 Bitcoin wallet to make the transfer to is: 12grtxACDZkgT2nGAvMesgoM4ADHD6NTaW Unique Identifier Key (must be sent to us together with proof of payment): ***** Number of files that you could have potentially lost forever can be as high as: *** Перевод записки на русский язык: ВНИМАНИЕ! все ваши важные файлы были зашифрованы! чтобы вернуть свои файлы, отправьте 300$ США в биткойнах и напишите нам с подтверждением оплаты и ваш уникальный идентификатор ключа. Мы вышлем вам инструмент дешифрования с вашим личным паролем дешифрования. Где можно купить биткойны: https://www.coinbase.com https://localbitcoins.com Контакт: hakbit@protonmail.com Биткойн-кошелек для перевода: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW Уникальный Идентификатор Ключа (вышлите нам с профом оплаты): ***** Количество файлов, которые можете навсегда потерять, может быть: *** Другим информатором жертвы выступает изображение wallpaper.bmp, заменяющее обои Рабочего стола: Содержание текста о выкупе: Atention! all your important files were encrypted! to get your files back send 300 USD worth in Bitcoins and contact us with proof of payment and your Unique Identifier Key. We will send you a decryption tool with your personal decryption password. Where can you buy Bitcoins: https://www.coinbase.com https://localbitcoins.com Contact: hakbit@protonmail.com Bitcoin wallet to make the transfer to is: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW Or *** Перевод текста на русский язык: Внимание! все ваши важные файлы зашифрованы! чтобы вернуть свои файлы пришлите 300$ в биткойнах и контакт с профом оплаты и вашим уникальным идентификатором ключа. Мы вышлем вам дешифратор с вашим личным паролем дешифрования. https://1.bp.blogspot.com/-xbaA-5ZNYWU/XcL7gax0TTI/AAAAAAAAQN4/Nxq3cFQR17IGj-mTcORZvcjty95G4dhDgCLcBGAsYHQ/s1600/wallp-note.jpg 4/33 Где можно купить биткойны: https://www.coinbase.com https://localbitcoins.com Контакт: hakbit@protonmail.com Биткойн-кошелек для перевода: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW Или *** Технические детали Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email- спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ Перед запуском "спит" более 2 минут. ➤ UAC не обходит, требуется разрешение на запуск. ➤ Использует команду, чтобы добавиться в Автозагрузку системы: "C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ➤ Удаляет теневые копии файлов. ➤ Использует службу поиска внешних IP-адресов: hxxx://checkip.dyndns.org Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: HELP_ME_RECOVER_MY_FILES.txt wallpaper.bmp firefox.exe chrome32.exe opera32.exe qaopj445.exe ijxvw3i4.exe .exe - случайное название вредоносного файла SharpExec.pdb - название проекта https://id-ransomware.blogspot.ru/2016/05/blog-post.html https://3.bp.blogspot.com/-g1khX78dPVo/WyNq6za-WMI/AAAAAAAAKz4/Jw7rid06qoAqXR3Q0hnbkblRfwOfN_ESgCLcBGAs/s1600/gen_info.png https://anti-ransomware.blogspot.com/2019/02/topical-protection.html https://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html 5/33 Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> \Temp\qaopj445.exe Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: hakbit@protonmail.com BTC: 12grtxACJZkgT2nGAvMesgoM4ADHJ6NTaW URL: hxxx://hakbit.hostingerapp.com/ hxxxs://hakbit.000webhostapp.com/ URL изображения: hxxxs://hakbit.000webhostapp.com/013.jpg URL на файлы: hxxxs://raw.githubusercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_x64.exe hxxxs://raw.githubusercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_x86.exe Таким образом ясно, что использует SharpExec. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> https://1.bp.blogspot.com/-KQUQoH2EAvw/XcMNApVw6FI/AAAAAAAAQOQ/_lGOu7t4BUE0O0SexwFXya-s91P22gG7QCLcBGAsYHQ/s1600/image-site.png https://1.bp.blogspot.com/-3lBRj_0epTM/XcMNFHnWHqI/AAAAAAAAQOU/0NkqNiGt7KAELtfl3szaet8Mh0n5rriWACLcBGAsYHQ/s1600/Screenshot_2.png https://www.hybrid-analysis.com/sample/916500065fb0037de6e95bdbeafaa69a8d3932af10e81acb02f88c6a65cb577e/5dc3094c028838756ce46589 https://www.virustotal.com/gui/file/916500065fb0037de6e95bdbeafaa69a8d3932af10e81acb02f88c6a65cb577e/detection https://analyze.intezer.com/#/analyses/f735c7c0-2660-4f78-8c97-47f0cd7e73a3 https://www.vmray.com/analyses/916500065fb0/report/overview.html 6/33 � MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. Присылайте образцы. === Конструктор и дешифровщик === Моделью распространения является RaaS, шифровальщик распространяется посредством конструктора, который позволяет создать конфигурацию самого шифровальщика и дешифровщик под него. В конструкторе немало настроек: как базовых (расширение зашифрованных файлов, содержимое и имя записки, адрес для оплаты), так и более продвинутых (обфускация кода; самоудаление; отключение Windows Defender; обход Antimalware Scan Interface (AMSI); освобождение файлов, занятых другими процессами; защита процесса шифровальщика; предотвращение сна; задержка исполнения; быстрый режим шифрования для больших файлов; установка расширений для шифрования; выбор способа уведомления жертвы). В сети можно найти утекший конструктор. Скорее всего, его выложил один из купивших его операторов. В качестве защиты в конструктор встроена проверка HWID — это говорит о том, что его собирают под конкретное устройство оператора. Дешифровщик позволяет расшифровать файлы за счет идентификатора пользователя, который представляет собой зашифрованный RSA-ключ (в разных версиях применяются разные симметричные алгоритмы шифрования). Из различных образцов шифровальщика известны разные схемы шифрования: - один ключ для всех файлов, шифрование по Salsa20; - разные ключи для всех файлов, шифрование по Salsa20; - один ключ для всех файлов, пропущенный через функцию преобразования ключа PBKDF2, и шифрование по AES-256 CBC; - один ключ для всех файлов, пропущенный через PBKDF2 с 1000 итераций для малых файлов и 50 000 итераций для больших (>15 МБ), затем шифрование по AES-256 CBC. Источник на русском >>> Источник на английском >> === БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS === В некоторых случаях файлы можно расшифровать. Скачайте дешифровщик от Emsisoft >> *** Расшифровать файлы можно у вариантов, идентифицируемые как Hakbit. Файлы зашифрованные Thanos (исправленной версией) не расшифрованы. https://securelist.ru/cis-ransomware/103701/ https://securelist.com/cis-ransomware/104452/ https://1.bp.blogspot.com/-eUDaWlGmgJQ/WZMKlrJUISI/AAAAAAAAGb4/pFWka_el0m4zNCp1sWRL4e57LzN5VXV1ACPcBGAYYCw/s1600/unlock3.png https://www.emsisoft.com/ransomware-decryption-tools/free-download 7/33 - видеобзор с помощью Any.Run Thanks: CyberSecurity GrujaRS, Michael Gillespie Andrew Ivanov (author) Karsten Hahn, Alex Svirid, Petrovic, Sandor to the victims who sent the samples === ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY === Криптоконструктор "Ransomware Builder"(нулевые версии) - до октября 2019. Криптоконструктор "Targeted Private Ransomware Builder" - с 10 октября 2019. Криптоконструктор "Private Ransomware Builder v. 2.0" - с 20 октября 2019. Hakbit Ransomware - с ноября 2019 на основе одной из ранних версий криптоконструктора. Private Ransomware Builder v. 2.1 - декабрь 2019. Private Ransomware Builder v. 2.2 - январь 2020. Thanos Ransomware (фактически исправленный Hakbit, на основе более новой версии криптоконструктора) - примерно с ноября-декабря 2020; не может быть расшифрован с помощью того же способа, который применялся для расшифровки Hakbit-вариантов. безымянный предшественник Prometheus Ransomware, ранние варианты - февраль-март 2021, указаны ниже в обновлениях для Hakbit/Thanos. Prometheus Ransomware, собственно сам - примерно с мая 2021 и в течение года; описан в статье Prometheus. Prometheus NextGen Ransomware - примерно с июня 2021; некоторые варианты не шифровали файлы, другие можно было расшифровать. NextGen с другими названиями - примерно с июля 2021, и далее в 2022 году. Другие NextGen-варианты - примерно с сентября 2021. === БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES === Вариант от 16 ноября 2019: Пост в Твиттере >> Расширение: нет Записка: you are stupid!.txt *** https://2.bp.blogspot.com/-k2W-6Z-IzMI/WxaD-UpoZ0I/AAAAAAAAKpg/msP3lBapJWkaJi_oTiWgQ6Y-2UrMr5IugCLcBGAs/s1600/address%252Btw.png https://1.bp.blogspot.com/-dKH21b0Rez8/V7wlH7UufMI/AAAAAAAABM4/9dz-mLgRy4sAnOJVa-qLHY7MMMJDzoNUQCLcB/s1600/big-thanks2.png https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html https://twitter.com/GrujaRS/status/1195676525020033025 8/33 ➤ Обнаружения: DrWeb -> Trojan.Encoder.30116 - gozde.exe BitDefender -> Gen:Heur.Ransom.Imps.3 ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ --- Использует команду: /C choice /C Y /N /D Y /T 3 & Del \ ➤ Пояснение по команде: cmd.exe /C вызывает терминал, выполняет указанную далее команду и закрывается. choice /C Y /N показывает пустое диалоговое окно, которое само нажмет кнопку Yes (/D Y) через 3 секунды (/T 3). & Del \ - проведет самоудаление Вариант от 18 ноября 2019: Расширение: .horse Файл: Setup.exe Результаты анализов: VT ➤ Обнаружения: ALYac -> Trojan.Ransom.Hakbit BitDefender -> Gen:Heur.Ransom.Imps.3 McAfee -> Ransomware-GUP!86EE14A5E016 MicrosoftRansom:MSIL/Stupid.G!MTB TrendMicro -> Ransom.Win32.STUPID.THAOCBO Вариант от 21 ноября 2019: Расширение: .turretsyndrome Файл: lol.exe Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.MulDrop11.30182 BitDefender -> Gen:Variant.Zusy.Elzob.21458 ALYacTrojan.Ransom.Hakbit McAfee -> Ransomware-GUP!63CA3D0E9FF1 Microsoft -> Ransom:MSIL/Stupid.G!MTB TrendMicro -> Ransom.Win32.STUPID.THAOCBO === 2020 === Вариант от 31 января 2020: https://1.bp.blogspot.com/-NIcTl-l1I6k/XybS4RTTSkI/AAAAAAAAUlY/9jbSGK1RiK4umTXLRJE0t3SyL5AhXVc4wCLcBGAsYHQ/s1600/note-16-11-19.png https://www.virustotal.com/gui/file/3ccf57e60cdf89d04f2c7e744d73e3b40a4308a2ba87d0423c96f601d737733f/detection https://www.virustotal.com/gui/file/917905ba95c10847e0bf3bc66332ae05616a0ddd965a00ae8ec3431ed11c39d2/detection 9/33 Расширение: .abarcy Discord Tag : Abarcy#2996.txt Список целевых расширений: .avi, .cpp, .cs, .ct, .dll, .docx, .exe, .gif, .htm, .html, .jpeg, .jpg, .mp4, .php, .png, .rar, .txt, .xlsx, .zip Файл: bind with tapjoy.exe Результаты анализов: VT ➤ Обнаружения: BitDefender -> Trojan.GenericKD.32996926 ALYac -> Trojan.Ransom.Hakbit Symantec -> Trojan.Gen.MBT --- ➤ Содержание записки: ==== Hey Don't worry ==== if you are file with .abarcy extension all your file are encrypted, which is protected there are many ways to get back, but i recommended the best way to you. === If you're GT Player === 1. Join My Discord Server https://discord.gg/ZfeGdM2 2. Read instruction on discord server tapjoy Вариант от 31 января 2020: Пост в Твиттере >> Расширение: .gesd Записка: READ THIS!!!!.txt Whatsapp: +441904501029 Файл: server.exe Результаты анализов: VT + AR + IA + VMR ➤ Обнаружения: DrWeb -> Trojan.Encoder.31029 BitDefender -> Gen:Heur.Ransom.Imps.3 ESET-NOD32 -> A Variant Of MSIL/Filecoder.UQ Symantec -> ML.Attribute.HighConfidence TrendMicro -> Ransom_Stupid.R002C0DBG20 ➤ Содержание записки: Atention! all your important files were encrypted! to get your files back send 3 Bitcoins and contact us with https://www.virustotal.com/gui/file/22bef4230f98fad522d89f2f338e7c6db4d77c5e2888147ad3ff73aa8c044af4/detection https://twitter.com/fbgwls245/status/1229393298839617537 https://www.virustotal.com/gui/file/3f83fd42af95185e19e537708dccdf1539dcab1ce73783c2741b4c1929dcc020/detection https://app.any.run/tasks/b604d9b9-448f-41fe-b2c9-79c2be80f87c/ https://analyze.intezer.com/#/analyses/e3020d78-e19e-4d54-8cd7-2109dd47023d https://www.vmray.com/analyses/3f83fd42af95/report/overview.html https://1.bp.blogspot.com/-qIQv7FTt-u8/Xkq2VeRlhAI/AAAAAAAARwg/UOItNwDtjxoOQnTPnFoZjlhxfwEt1heMACLcBGAsYHQ/s1600/note-17-2-20.png https://1.bp.blogspot.com/-a7CwjZjxU7I/XldyFO-ha-I/AAAAAAAAR7I/LCH-V531DtcEZHSiS9I8J2aGDPIxKT8qQCLcBGAsYHQ/s1600/note.jpg 10/33 proof of payment and your Unique Identifier Key. We will send you a decryption tool with your personal decryption password. Where can you buy Bitcoins: https://www.coinbase.com https://localbitcoins.com CONTACT servo99@protonmail.com another if we not asnwer servo33@protonmail.com Bitcoin wallet to make the transfer to is:1MYNpqa9CKnjvcvxd25iB7qxxeZbfWsBzP --- Также используется изображение --- Файл: Client-4.exe Результаты анализов: VT + AR / VT + VMR + AR ➤ Обнаружения: Dr.Web -> Trojan.Siggen9.15292 BitDefenader -> Trojan.GenericKD.42685813 ESET-NOD32 -> A Variant Of MSIL/Filecoder.VL Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen Malwarebytes -> Trojan.Injector Microsoft -> Ransom:MSIL/Filecoder!MTB Rising -> Ransom.Filecoder!8.55A8 (CLOUD) Symantec -> ML.Attribute.HighConfidence TrendMicro -> Ransom.MSIL.FILECODER.THBBGBO Вариант от 1 марта 2020: Пост в Твиттере >> Расширение: .part Самоназвание: Corona ransomware Записка: HELP_ME_RECOVER_MY_FILES.txt https://1.bp.blogspot.com/-9Oaf6BWghJs/XlbHW9NO_sI/AAAAAAAAR6w/SYepspH1_tUUaby8rRCWltgAbY_CbTSAwCLcBGAsYHQ/s1600/wallp-note-26-2-20.png https://www.virustotal.com/gui/file/cd63dad48fe881b1cabe155a74c1d8e1a1fd83402a1e06d4a5faa52056c7ffc9/detection https://app.any.run/tasks/f5d72b34-c050-4e31-ad4d-e376db3d37cb/ https://www.virustotal.com/gui/file/ca8d10f5e5716b831e5c5bf97e0d3db14b03bea23f1b71c4dc04e68b675309c0/detection https://www.vmray.com/analyses/ca8d10f5e571/report/overview.html https://app.any.run/tasks/fcd5ba1a-b363-4376-b111-d98326a2c405/ https://twitter.com/fbgwls245/status/1233986763263078402 11/33 ➤ Содержание записки: 1 - What Happened to My Computer ? Your business is at serious risk. There is a significant hole in the security system of your company. We've easily penetrated your network and now all your files, documents, photos, databases, ...are safely encrypted with the strongest millitary algorithms RSA4096 and AES-256. No one can help you to restore files without our special decoder (corona decryption). We have also uploaded a lot of files from your network on our secure server, so if you refuse to pay the ransom, those files will be published or solded to competitors 2 - Can I Recover My Files ? Sure, we guarantee that you can recover all your files safely. If you want to restore your files write to recoba90@protonmail.com and attach 2 encrypted files (Less than 3MB each) and we will decrypt them. Please don't forget to precise the name of your compagny and your unique identifier key in the e-mail. But if you want to decrypt all your files, you need to pay. You only have 5 days from this moment to submit the payment. After that all your files will be lost definitely. 3 - How Do I Pay ? Payment is accepted in bitcoin only. You can buy bitcoins from : -https://www.coinbase.com -https://localbitcoins.com The final price of decryption is 300$ . First : Send 300$ worth of bitcoin Second: send an e-mail to recoba90@protonmail.com and don't forget to precise the name of you compagny, your wallet ID and your unique identifier key.After that, we will send you our corona decryption tool to restore all your files. !!!!Be warned, we won't be able to recover your files if your start fiddling with them.!!!! Corona ransomware No System Is Safe Bitcoin wallet to make the transfer to is: 32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md Unique Identifier Key (must be sent to us together with proof of payment): --------------------------------------------------------------------------------- kvMpaz7neSIxej4U89xXcYPS1CsEKO3WoZJpCz [всего 344 знака] --------------------------------------------------------------------------------- --- https://1.bp.blogspot.com/-XD3cxOptsjo/XmVKnpF3rPI/AAAAAAAASFw/LkN-4zIH8hQ1G5JGjUsSMl2iDyJ8QI7twCLcBGAsYHQ/s1600/note-1-3-20.png 12/33 URL временный: ftp://files.000webhost.com/public_html/ Email: recoba90@protonmail.com BTC: 32bzWrWXXbWGSwB4gGTQt8RdzuNQVaS9Md Файл: Client-0.exe Результаты анализов: VT + HA + AR + IA ➤ Обнаружения: DrWeb -> Trojan.MulDrop11.48683 ALYac -> Trojan.Ransom.Hakbit BitDefender -> Gen:Trojan.Heur.DNP.dm0@auNGwPc ESET-NOD32 -> A Variant Of MSIL/Filecoder.VL Malwarebytes -> Trojan.Injector Rising -> Trojan.Filecoder!8.68 (CLOUD) TrendMicro -> Trojan.MSIL.MALREP.THCOBBO Вариант от 4 марта 2020: Пост в Твиттере >> Пост в Твиттере >> Пост в Твиттере >> Расширение: .ravack Самоназвание: Ravack Ransomware По факту переименованная копия варианта с расширением .abarcy Записка: HELP_ME_RECOVER_MY_FILES.txt Вредоносные файлы после установки: C:\Program Files (x86)\Windows NT\Accessories\dwm.exe - VT + VMR C:\Program Files (x86)\Windows NT\data\dllhost.exe - VT Вариант от 9-12 мая 2020: Предположительное родство. Пост в Твиттере >> Пост в Твиттере >> Расширение: .crypted Email: timepay@protonmail.com Записка: HELP_ME_MY_FILES_NOT_MAKE_PUBLIC.txt Файл: BUDDINGPULVERS.exe, Client-17.exe Результаты анализов: VT + HA + IA + VMR + TG https://www.virustotal.com/gui/file/871eef727aaad88b734bb372f19e72ccf38034195666c35390f5c3064f5469a3/detection https://www.hybrid-%20%20analysis.com/sample/871eef727aaad88b734bb372f19e72ccf38034195666c35390f5c3064f5469a3/5e5b517ea5240a10004%20%2011c53 https://app.any.run/tasks/e95f6def-2640-4846-80ba-de52ce1c6205/ https://analyze.intezer.com/#/analyses/732f34b2-fb1c-43cb-9493-24a96da2469a https://twitter.com/fbgwls245/status/1235052488023142400 https://twitter.com/Amigo_A_/status/1235105665527488512 https://twitter.com/siri_urz/status/1235128194652499969 https://1.bp.blogspot.com/-dL60rq1s2Vo/Xl_tbQC8SZI/AAAAAAAASBY/9PIg4jYCnV0FsY7b6Rfj5n-FnBMKsnjMwCLcBGAsYHQ/s1600/Screenshot_1.png https://1.bp.blogspot.com/-hhuo0WHSIng/Xl_ty4rApTI/AAAAAAAASBg/5c9RzqNjAks_8tt-jwywkvfGIoxDvoo_QCLcBGAsYHQ/s1600/google-link.png https://www.virustotal.com/gui/file/b0cbe3c24b1e610a9c4c8308f1996b128a4686e6a80edd1b3f22900b4dd95aee/detection https://www.vmray.com/analyses/b0cbe3c24b1e/report/overview.html https://www.virustotal.com/gui/file/a26b6f677edd8a0072c0c8f840a0f5d7e52c38341e346abff1163126b7af03f3/detection https://twitter.com/benkow_/status/1259211288334553090 https://twitter.com/hx454f/status/1259229361347022848 https://www.virustotal.com/gui/file/855dcd368dbb01539e7efa4b3fefa9b56d197db87b1ba3ede5e1f95927ea2ca3/detection https://www.hybrid-%20%20analysis.com/sample/855dcd368dbb01539e7efa4b3fefa9b56d197db87b1ba3ede5e1f95927ea2ca3/5eb71830ea0e2c5b6265f4%20%2048 https://analyze.intezer.com/#/files/855dcd368dbb01539e7efa4b3fefa9b56d197db87b1ba3ede5e1f95927ea2ca3 https://www.vmray.com/analyses/855dcd368dbb/report/overview.html https://tria.ge/reports/200513-ank3s37nrx/behavioral1 13/33 ➤ Обнаружения: DrWeb -> Trojan.Siggen9.45634 BitDefender -> Gen:Heur.MSIL.Bladabindi.1 ESET-NOD32 -> A Variant Of MSIL/Filecoder.VL Malwarebytes -> Trojan.Injector Symantec -> ML.Attribute.HighConfidence TrendMicro -> TROJ_GEN.R011C0WEB20 Вариант от 24 мая 2020: Пост на форуме >> Расширение: .crypted Email: mheist5@protonmail.com Записка: HELP_ME_RECOVER_MY_FILES.txt ➤ Содержание записки: Hello *** Co. Ltd. , All your files on your 17 servers are currently encrypted, you are allowed to try and decrypt, but you wont succeed, but if you want to recover your files, email us below: Contact: To: mheist5@protonmail.com tiVDLou4Zj7PgA9UkQJDlt9h5IW*** [всего 344 знака] Number of files that you could have potentially lost forever can be as high as: 3456 Вариант от 18 июня 2020: Пост в Твиттере >> Расширение: .CRYPTED Записка: DEAL_FOR_ACCESS_TO_YOUR_FILES.TXT Email: l1u1t1@secmail.pro Результаты анализов: VT + TG + IA https://1.bp.blogspot.com/-sIwQZISEusM/XrvNJkUx3yI/AAAAAAAATCI/_0fbyTuw6Jg1ShqkomoSRA1W0VhdpWGKACLcBGAsYHQ/s1600/lock-note.jpg https://1.bp.blogspot.com/-6QwikzxYcX8/XrvNMB4LxVI/AAAAAAAATCM/Q9m0ay2GiO0mNbrU1fQo11oMAvfKm-TDwCLcBGAsYHQ/s1600/txt-note.png https://www.bleepingcomputer.com/forums/t/721616/help-identifying-ransomware/?p=4999632 https://1.bp.blogspot.com/-KZi24rzZJ9E/Xsukhx2ktYI/AAAAAAAATOk/kJ33gdfU_hkKC3HQTJQgiBP7tP5uaj3UQCLcBGAsYHQ/s1600/note-24-5-20w.png https://twitter.com/raby_mr/status/1273528880523964416 https://www.virustotal.com/gui/file/1c83ff2394da76e6296e6ad72c40dbde107704a711bbd08b633c57587230ccf8/detection https://tria.ge/reports/200618-5132s4nyax/behavioral1 https://analyze.intezer.com/#/analyses/17edda11-e577-49bf-8cfe-217ff9fcee18 14/33 Вариант от 10 июля 2020: Пост в Твиттере >> Записки: HOW_TO_DECYPHER_FILES_login.txt HOW_TO_DECYPHER_FILES.txt HOW_TO_DECYPHER_FILES.hta Также есть текст в окне, отображаемом при входе пользователя. Текст из txt-записки: Your Files are Encrypted. Don’t worry, you can return all your files! You've got 48 hours(2 Days), before you lost your files forever. I will treat you good if you treat me good too. The Price to get all things to the normal : 20,000$ My BTC Wallet ID : 1F6sq8YvftTfuE4QcYxfK8s5XFUUHC7sD9 Contact : josephnull@secmail.pro --- Текст с синего экрана: Information... Your Files are Encrypted. Don't worry, you can return all your files! You've got 48 hours(2 Days), before you lost your files forever. https://1.bp.blogspot.com/-x5XHtsjEUqA/XuujdmXeUOI/AAAAAAAAToA/v30GP19NiIYVZs9kP3k0tYgNRB46-dGQACLcBGAsYHQ/s1600/note-18-6-20.jpg https://twitter.com/JAMESWT_MHT/status/1281515013132496896 https://1.bp.blogspot.com/-_CMFZIQuxjE/Xx3JmcdUr6I/AAAAAAAAUaw/j_Ixfg97Llwk9B-hfA_nQkACSY-P2PDtwCLcBGAsYHQ/s1600/note1.png https://1.bp.blogspot.com/-Eu8UqfZSgUk/Xx3Jox_ShxI/AAAAAAAAUa0/-ddP3quST9UFuIJYC1uubqOzcBdxMFOzACLcBGAsYHQ/s1600/combo-notes.jpg https://1.bp.blogspot.com/-sXjK3T9bUFs/Xx3JsxR3COI/AAAAAAAAUa4/Q_libiwYVtwGvSa1W40oAIL_KUBtqlYMACLcBGAsYHQ/s1600/screen2.jpg https://1.bp.blogspot.com/-h8j4VRxGrL8/Xx3JwbYTvoI/AAAAAAAAUa8/laHajeCcCkIXvQrsQbOEq5lmWPfAXkJTgCLcBGAsYHQ/s1600/screen1.jpg 15/33 I will treat you good if you treat me good too. The Price to get all things to the normal : 20,000$ My BTC Wallet ID : 1F6sq8YvftTfuE4QcYxfK8s5XFUUHC7sD9 Contact: josephnull@secmail.pro --- Результаты анализов: AR + AR + VT + IA Вариант от 21 октября 2020: Пост в Твиттере >> Расширение: .energy[potentialenergy@mail.ru] Записка: HOW_TO_DECYPHER_FILES.txt Email: potentialenergy@mail.ru Результаты анализов: VT + IA Вариант от 19 октября 2020: Топик на форуме >> Расширение: .locked Email: milleni5000@qq.com Записка: HOW_TO_DECYPHER_FILES.txt Вариант от 17 ноября 2020: Пост в Твиттере >> Расширение: .pulpit Записка: HOW_TO_DECYPHER_FILES.txt Email: suppforunl@firemail.com, suppforunl@rape.lol Jabber: suppforunl@xmpp.jp Файл: pulpit1.exe Результаты анализов: VT https://app.any.run/tasks/e2ef6d92-1b44-45bd-a60d-17865685bb13/ https://app.any.run/tasks/c67a34a1-7279-4087-8968-0bdcb1c053db/ https://www.virustotal.com/gui/file/58bfb9fa8889550d13f42473956dc2a7ec4f3abb18fd3faeaa38089d513c171f/detection https://analyze.intezer.com/analyses/8ab06f41-e74c-47d1-bac6-b153a65c6548 https://twitter.com/siri_urz/status/1318890688231124992 https://www.virustotal.com/gui/file/69c56d12ed7024696936fb69b4c6bee58174a275cb53fa966646a0b092d9626b/detection https://analyze.intezer.com/analyses/1ff18383-046f-49e4-8948-17a895b76929 https://1.bp.blogspot.com/-KsY_oHeF49Q/X5CCgEcMRpI/AAAAAAAAWKo/bzi7lNaIq9s-hjl0CnIAEDlDR_OYm9ydwCLcBGAsYHQ/s768/Ek2kFW4XYAci_DK.png https://forum.kasperskyclub.ru/topic/75130-vosstanovlenie-fajlov-posle-virusa-locked/ https://1.bp.blogspot.com/-Ls4YlAspcxE/X5VQQpA0UHI/AAAAAAAAWPQ/PK5r2u6CAQ4UMtK-Kj3a3gq_3i4XKXjHQCLcBGAsYHQ/s1279/note-19-10-20.png https://twitter.com/siri_urz/status/1328643159530889216 https://www.virustotal.com/gui/file/33eeb5bfbbf6c76f3a991f6fa82f85ecc3ef608dd3c7c8beb0ebdf35264568f5/detection 16/33 Вариант от 6 декабря 2020: Расширение: .cryp Результаты анализов: VT Вариант от 18 декабря 2020: Идентифицирется как Thanos (исправленный Hakbit) и не может быть расшифрован. Сообщение >> Расширение: .rastar Записка: HOW_TO_DECYPHER_FILES.txt Email: datarecovery@asiarecovery.ir Результаты анализов: VT + IA Вариант от 21 декабря 2020: Сообщение >> Расширения: .guanhospit .360eyao Записка: HOW_TO_DECYPHER_FILES.txt Email: datarecovery@asiarecovery.ir === 2021 === 13 января 2021: Сообщение >> Email: yourdata@recoverygroup.at Расширение: .stnts Записка: RESTORE_FILES_INFO.txt https://1.bp.blogspot.com/-qeuLy6VlfuI/X7Yuq-JPZGI/AAAAAAAAWuA/CBbFrCXx0iMlkZgH0nM25pdJyzYR-foDACLcBGAsYHQ/s870/note-17-11-20.png https://twitter.com/Kangxiaopao/status/1339853002023313408 https://www.virustotal.com/gui/file/1baccdc9eb758412cb3ad008bbf1f8d500ccf1ef9ad4c6a0903f584c6fd5d5d8/detection https://analyze.intezer.com/analyses/e4fad99b-73a4-45ee-920d-482bda1daccb https://1.bp.blogspot.com/-BS1ANMqjL24/X9zXAWh2dRI/AAAAAAAAXfk/WbA6cptzwaUPjAvE3kCJqTQrt7_dO_UiQCLcBGAsYHQ/s1225/Epgc_NpW8AErDZt.png https://twitter.com/Kangxiaopao/status/1340921669716766720 https://twitter.com/Kangxiaopao/status/1349246447137394689 https://1.bp.blogspot.com/-Doqznrx_Nl8/YBGTrXFl8QI/AAAAAAAAYRw/T_JZN7SZHVYXs0Ogr-1_XP_DSMe2hHSiACLcBGAsYHQ/s1265/note-14-1-21.png 17/33 --- Другие расширения: .plastic .Spectranetics Вариант от 22 января 2021: Идентифицирется как Thanos (исправленный Hakbit) и не может быть расшифрован. Сообщение >> Самоназвание: TeslaCrypt (фальшивый на самом деле). Расширение: .0l0lqq Email: workplus111@protonmail.com, worker400@airmail.cc Записка: RESTORE_FILES_INFO.txt Результаты анализов: ➤ Обнаружения: DrWeb -> Trojan.Encoder.33405 ALYac -> Trojan.Ransom.Thanos Avira (no cloud) -> TR/FileCoder.wwdim BitDefender -> Trojan.GenericKD.36228402 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Ransom.Thanatos Symantec -> ML.Attribute.HighConfidence Tencent -> Msil.Trojan.Encoder.Pgdm TrendMicro -> TROJ_FRS.0NA103AM21 Вариант от 23 января 2021: Сообщение >> Расширение: .fsvlf4 Записка: RESTORE_FILES_INFO.txt Email: workplus111@protonmail.com, worker400@airmail.cc Результаты анализов: VT + AR + TG Вариант от 26 января 2021: Сообщение >> Расширение: .secure[milleni5000@qq.com] https://twitter.com/ffforward/status/1352529115451187200 https://1.bp.blogspot.com/-xHx51L-yJ48/YBGQo61kJ7I/AAAAAAAAYRo/IewtdHoZOccFrsbMAtMDmUEh1QkFcO9AwCLcBGAsYHQ/s1364/note-22-1-21.png https://twitter.com/petrovic082/status/1352899095812308992 https://www.virustotal.com/gui/file/5fd33c0fb29103a7323c1ea97015ee932f99d454731be58f7db6988f10c115b8/detection https://app.any.run/tasks/dc95d29e-ecd0-439c-bca7-9ded62e23473/ https://tria.ge/210204-ly3zbkesme https://1.bp.blogspot.com/-_P9lJ3bVWd0/YBxL_8WqiKI/AAAAAAAAYW8/_G1NNkwDT1ssB75k2GKtJ9fXE2y7mqK0ACLcBGAsYHQ/s1090/note-23-1-21.png https://twitter.com/Kangxiaopao/status/1354251339337932800 18/33 Email: milleni5000@qq.com Записка: RESTORE_FILES_INFO.txt Содержание ответа вымогателей: hello, to decrypt your files You will need a special software with your special unique private key. price of software with your private key will be 1500 US dollars. with this product you can decrypt all your files. we accept only BITCOIN payments. (It is a decentralized digital currency) when your payment will be delivered you will receive your software with private key IMMEDIATELY! to be sure we have the decryptor and it works you can send to us one file and we decrypt it for free. but this file should be of not valuable! let us know about your decision as soon as possible and we give you bitcoin wallet for payment. thanks. --- Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.Encoder.33390 BitDefender -> Trojan.GenericKD.45569098 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Symantec -> ML.Attribute.HighConfidence Tencent -> Msil.Trojan.Crypren.Apcz TrendMicro -> TrojanSpy.MSIL.CRYPREN.USMANAK21 Вариант от 14 февраля 2021: Сообщение >> Расширение: .zuadr Другие ранее известные расширения: .stnts, .plastic, .zonecare, .lpsk Записки: RESTORE_FILES_INFO.hta, RESTORE_FILES_INFO.txt Email: yourdata@RecoveryGroup.at https://1.bp.blogspot.com/-FqMAwMVkUFg/YBhKpuy5KtI/AAAAAAAAYUc/h9tFhchGN6QqexC7yAwOA9qVEGsHiE7nACLcBGAsYHQ/s1228/note-26-1-21.png https://1.bp.blogspot.com/-kvoQybgN97k/YFHxsnyowNI/AAAAAAAAY1o/wv4qd7ZYZi8ZIG3j6QyzMi0ZAowi5QM4ACLcBGAsYHQ/s991/Note-26-1-21.png https://www.virustotal.com/gui/file/a3226832258f2a163c198feb56f39d9b24c1c1dd1a6422765524605154d124e8/detection https://twitter.com/Kangxiaopao/status/1372152354020093955 19/33 Файл: ZaudrShare.exe Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 BitDefender -> Trojan.MSIL.Basic.6.Gen ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Backdoor.Bladabindi Microsoft -> Ransom:MSIL/FileCoder!MTB Rising -> Trojan.Filecoder!8.68 (TFE:D:bbfQqAFLwVV) Symantec -> ML.Attribute.HighConfidence Tencent -> Msil.Trojan.Encoder.Hviu TrendMicro -> TrojanSpy.MSIL.SMALLAGENT.USMANBE21 Вариант от 16 февраля 2021: Сообщение >> Возможно, что это уже вариант Prometheus Ransomware Расширение: .PROM[prometheushelp@mail.ch] Записки: RESTORE_FILES_INFO.txt, RESTORE_FILES_INFO.hta Email: prometheushelp@mail.ch prometheushelp@airmail.cc Prometheus.help@protonmail.ch Tor-URL: sonarmsniko2lvfu.onion/ https://1.bp.blogspot.com/-eEctFQISisE/YFI9ySfv_1I/AAAAAAAAY1s/5fKVQ0rUpREZIbgUIQfXH0IzUd0c7MPLgCLcBGAsYHQ/s1224/note-14-3-21.png https://www.virustotal.com/gui/file/36af1271b20bf1a4e3e30634875200729cd8a8982dfe3f707781496a0aff180e/detection https://twitter.com/Kangxiaopao/status/1372144791719342082 https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html https://1.bp.blogspot.com/-2rHLcMpHs-4/YFI-KpQ3C1I/AAAAAAAAY10/iIZdINOaeggdsdup93T9OeaY4DgyaciqQCLcBGAsYHQ/s1230/note-16-3-21.png https://1.bp.blogspot.com/-YUa71Hqbuys/YFI-ORovLwI/AAAAAAAAY14/PwK97Zb84KYSPVSWk0_XdAwZieZEggFhQCLcBGAsYHQ/s999/tor-url.jpg 20/33 Файл: Svchost.exe Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 BitDefender -> Gen:Heur.MSIL.Bladabindi.1 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Backdoor.Bladabindi Microsoft -> Ransom:MSIL/FileCoder!MTB Symantec -> Ransom.HiddenTear!g1 Tencent -> Msil.Trojan-downloader.Seraph.Wsty TrendMicro -> Ransom.Win32.THANOS.SM Вариант от 19 февраля 2021: Сообщение >> Сообщение >> Самоназвание: Alumni Locker Расширение: .alumni Записка: HOW_TO_RECOVER_YOUR_FILES.txt Результаты нализов: VT + TG + AR Вариант от 11 марта 2021: Сообщение >> Возможно, что это уже вариант Prometheus Ransomware Расширение: .secure Маркер файлов: GotAll Done Есть варианты на разных языках. Записки: Instruction.txt (на английском), Инструкция.txt (на русском) Email: filesrestore000@airmail.cc Записка: HOW_TO_RECOVER_YOUR_FILES.txt https://www.virustotal.com/gui/file/9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184/details https://twitter.com/petrovic082/status/1362664129190838273 https://twitter.com/fbgwls245/status/1362618972634451969 https://www.virustotal.com/gui/file/e97c6e05b1a3d287151638ffe86229597b188f9aa6d34db255f08dbc11dbfbd8/detection https://tria.ge/210219-mxb43kvcga https://app.any.run/tasks/bd002155-3ba4-4d86-a63e-508ccd131cd2/ https://1.bp.blogspot.com/-AXhAnt9z1v8/YDFHCf6eUnI/AAAAAAAAYoI/eLHDIJpXEn888_jep_vXgOK7riIhJURUgCLcBGAsYHQ/s837/note.png https://1.bp.blogspot.com/-9xcxy-RzB0Q/YDFHF6YRGlI/AAAAAAAAYoM/BlYhGekYfqQDuD_7KccwWRzFblHAp6dygCLcBGAsYHQ/s411/message.png https://www.bleepingcomputer.com/forums/t/746348/ransomeware-variant-filesrestore000airmailcomm/?p=5146034 https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html 21/33 Файл: Client-3.exe Результаты нализов: VT + IA ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 BitDefender -> Trojan.MSIL.Basic.6.Gen ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Ransom.Thanos Microsoft -> Program:Win32/Wacapew.C!ml TrendMicro -> Ransom.MSIL.THANOS.SM Вариант от 17 марта 2021: Расширение: .hard Email: harditem@firemail.cc. harditem@hitler.rocks Jabber: harditem@xmpp.jp Результаты анализов: VT + IA Вариант 17 марта 2021: Сообщение на форуме >> Расширение: .[ID-XXXXXXXX].[killerworm@tuta.io].crypt Записка: RESTORE_FILES_INFO.txt Email: killerworm@tuta.io, zerowhite@tuta.io https://1.bp.blogspot.com/-Gi7e0r2NnWo/YE5QwzrKFtI/AAAAAAAAY0o/N5HQWoj5b9Qv9bc_egfpvlwQIljRHtDgwCLcBGAsYHQ/s807/note-11-3-21.png https://1.bp.blogspot.com/-T1M4fI9UFt4/YE5On3PQobI/AAAAAAAAY0g/jEe5yMWljgUnF2s1xiMOQe3tOhoCv5gHACLcBGAsYHQ/s672/filemarker.png https://www.virustotal.com/gui/file/02665fcf9c0ddfb2cd3e04d254f60c5a4453947f7c3df5480316a040c0c8686f/detection https://analyze.intezer.com/analyses/042193f1-ff8e-47ef-b0d6-91b813d3613c https://www.virustotal.com/gui/file/d7f7ea6cb92e1f01e815007fdcdf2455680e739077aff7e3eaf51311cf3388a5/detection https://analyze.intezer.com/analyses/b4e15c1f-cb08-45a9-b343-d805ebc36da2 https://www.bleepingcomputer.com/forums/t/644140/btcware-gryphon-ransomware-crypton-gryphon-support-topic/?p=5149429 22/33 Вариант от 20 марта: Расшиение: .pchtza Вариант от 23 марта 2021: Сообщение на форуме >> (неточности в сообщении пострадавшего исправлены) Расширение: .[ID-XXXXXXXX].[KingKong2@tuta.io].crypt Записка: RESTORE_FILES_INFO.txt Email: kingkong2@tuta.io Вариант от 23 марта 2021: Расширение: .ejqvfp Записка: RESTORE_FILES_INFO.txt Email: decoder44@rambler.ru, alpinbovuar@protonmail.com Ярлык в Автозагрузке: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk Результаты анализов: VT + TG ➤ Содержание записки: Ваша система была зашифрована. Для того что бы получить доступ к Вашим файлам и расшифровать их Вам необходимо связаться с нами по адрессам decoder44@rambler.ru alpinbovuar@protonmail.com (обращаем ваше внимание что могут возникнуть трудности по дохождению писем на протон с мейл.ру и яндекса) или телеграмма который мы Вам сообщим связавшись с вашими сотрудниками. Так же у нас есть данные от ваших баз данных, бекапов, телеграмы ваших сотрудников, личные данные ваших клиентов и доступы к платежным системам. Key Identifier: N6e+wCICmGtchG/aL8Bljl77pKaF+*** [всего 684знака] Number of files that were processed is: 17*** https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvgd07I_MebZawkeOIoNkhTGu6cTIFY4gNxJPKSxVFsJiOnvTjmZg5Cgq0sxpQdRENlSmMeMcwDsh3qVPzBzGpsP_HmN4zJUrGRQpWBakzDDonrv0xx0VlPdEiGAFcYCNp6GA_-KP37ZUkzuDOkfYThmSZOM_PWKmqVm0PuJASj_WbqXykpDnrtXvF/s1072/17-3-21w.png https://www.bleepingcomputer.com/forums/t/644140/btcware-gryphon-ransomware-crypton-gryphon-support-topic/?p=5153250 https://www.virustotal.com/gui/file/aa3e530d4567c1511126029fac0562ba8aa4ead0a01aceea169ade3e38a37ea7/detection https://tria.ge/210419-9crd845edj/behavioral1 https://1.bp.blogspot.com/-3y5jV11rAr4/YIFG3QaTDYI/AAAAAAAAZII/9PBLHwaGq7IH6gR9xVOK5_ycex0u6DBowCLcBGAsYHQ/s1072/note-23-3-21.png 23/33 Вариант от 26 марта 2021: Топик на форуме >> Расширение: .VIPxxx Полное расширение: .[ID-215CFE80].[kingkong2@tuta.io].VIPxxx Записка: RESTORE_FILES_INFO.txt Email: kingkong2@tuta.io, 1bmx1@tuta.io Вариант от 27 марта 2021: Топик на форуме >> Расширение: .secure[milleni5000@qq.com] Записка: RESTORE_FILES_INFO.txt Email: milleni5000@qq.com Вариант от 6 апреля 2021: Сообщение >> Записка: RESTORE_FILES_INFO.txt Email: kingkong2@tuta.io, 1bmx1@tuta.io https://forum.kasperskyclub.ru/topic/81305-pojmali-neponjatnyj-shifrovalshhik-vipxxx/ https://1.bp.blogspot.com/-Xe8gQiVt_VU/YIWdKmSi4CI/AAAAAAAAZKM/4p6co1x5aHM85_NLzcyUXPsDnRNhKRg_ACLcBGAsYHQ/s1072/note-26-3-21w.png https://forum.kasperskyclub.ru/topic/81271-pojmal-shifrovalshhik-milleni5000qqcom/ https://1.bp.blogspot.com/-2mJoF-jHx2c/YIWdPudHrXI/AAAAAAAAZKQ/-ofkev1_6EYlN0jM3z00XCkFsAdtHMIgwCLcBGAsYHQ/s1072/note-27-3-21w.png https://www.bleepingcomputer.com/forums/t/644140/btcware-gryphon-ransomware-crypton-gryphon-support-topic/?p=5161201 https://1.bp.blogspot.com/-nzLJAGP-NKw/YHHwlUyRMsI/AAAAAAAAZCA/sZOzo-Zhlpc4yjLiUyJwRz6wgjNNG51AACLcBGAsYHQ/s1072/note-6-4-21.png 24/33 Вариант от 7 апреля 2021: Сообщение >> Расширение: .kingdee Email: yourdata@RecoveryGroup.at Файл: Kingdee.exe Результаты анализов: VT + IA ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Microsoft -> Ransom:MSIL/Thanos.DC!MTB Вариант от 12 апреля 2021: Расширение (концевое): .CRYSTAL Полное расширение (пример): .[ID-C4BA3456].[black_privat@tuta.io].CRYSTAL Записка: RESTORE_FILES_INFO.txt Email: black_privat@tuta.io, darkseid@tutamail.com Названия файла: farkos.csv, farkos.csas, Client-0.exe Результаты анализов: VT + AR ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 BitDefender -> Trojan.GenericKD.46083313 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Kaspersky -> HEUR:Trojan-Ransom.MSIL.Thanos.gen Microsoft -> Ransom:MSIL/Thanos.DC!MTB Rising -> Ransom.Thanos!8.11C97 (CLOUD) Symantec -> ML.Attribute.HighConfidence TrendMicro -> Ransom.MSIL.THANOS.SM Вариант от 17 мая 2021: Топик на форуме >> https://twitter.com/Kangxiaopao/status/1379322570051231744 https://www.virustotal.com/gui/file/113230f881d7008fad3d62e34ce79f1b9273f604303f1b5c1450cff6481655de/detection https://analyze.intezer.com/analyses/fe97df95-c62f-426b-b445-4ae6abdf744e https://1.bp.blogspot.com/-rQeZAEKHLn4/YG3mS5jVJFI/AAAAAAAAY_U/6yRBSSDGAZQkuh4b-n76FrmgN9ymCteKwCLcBGAsYHQ/s1620/note-7-4-21.png https://www.virustotal.com/gui/file/9e573ba20b55f6149d801491c0ebb51c9f1c954b956a2f6cea6f18af68f0164b/detection https://app.any.run/tasks/18d67889-536c-4fad-8596-d479989d3865/ https://1.bp.blogspot.com/-TbiEOc3F3qw/YHg_8ustaoI/AAAAAAAAZEM/WQB_p92ING0cb9KrljFzLRkU48pC0ye7wCLcBGAsYHQ/s1060/note-12-4-21w.png https://www.bleepingcomputer.com/forums/t/750915/ 25/33 Расширение (концевое): .CRYSTAL Полное расширение (пример): .[ID-DE792345].[John2wick@tuta.io].CRYSTAL Записка: HELP_ME_RECOVER_MY_FILES.txt Email: John2wick@tuta.io, black_private@tuta.io Вариант от 14 июня 2021: Это также похоже на новый вариант Prometheus Ransomware Но без вредоносного файла точнее сказать трудно. Пост на форуме >> Расширение (концевое): .getin Полное расширение (пример): .[ID-7C4B3384].getin Записка: RESTORE_FILES_INFO.txt Email: Tiberiano@aol.com Вариант от 18 июня 2021: Пост на форуме >> Результат идентификации >> Расширение: .secure[irrelevantly@aliyun.com] Записка: RESTORE_FILES_INFO.txt Email: irrelevantly@aliyun.com, willettamoffat@yahoo.com https://1.bp.blogspot.com/-PqfvAULw28I/YKYYn_4gt4I/AAAAAAAAZXE/C0WNi8yrL-wFZwFDvJJRaefdWdSVsMXFgCLcBGAsYHQ/s1054/note-17-5-21.png https://id-ransomware.blogspot.com/2021/05/prometheus-ransomware.html https://www.bleepingcomputer.com/forums/t/753188/ransmoware-getin-filename/?p=5207895 https://1.bp.blogspot.com/-1ZnTgHb7R94/YMhXpe5yZrI/AAAAAAAAZr4/yXQsjKEykhI9HUfkRYKrth6YXlAv2PmnQCLcBGAsYHQ/s1265/note-14-6-21.png https://www.bleepingcomputer.com/forums/t/721616/hakbit-thanos-ransomware-crypted-support-topic/?p=5210210 https://id-ransomware.malwarehunterteam.com/identify.php?case=cd830fbd56ecfd7a3ac1862b2288fa173baf757b 26/33 Вариант от 18 июня 2021: Сообщение >> Расширение: .[ID-C4BA3647].[kingstonbtc@tutanota.com].CRYSTAL Email: kingstonbtc@tutanota.com, pandabit@tuta.io Файл: Client-0.exe Результаты анализов: VT + AR ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Microsoft -> Ransom:MSIL/Thanos.DC!MTB Вариант от 1 августа 2021: Сообщение >> Расширение: .REV Записки: HOW_TO_RECOVER_MY_FILES !.hta, HOW_TO_RECOVER_MY_FILES !.txt Email: Jeremy.albright@criptext.com Файл: Worker-0.exe Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.31368 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Microsoft -> Ransom:MSIL/Thanos.DC!MTB https://1.bp.blogspot.com/-VCNW2SZzwAU/YOruS_z6nVI/AAAAAAAAaBY/nsE8WjGZaQso7Y9jvS2hHX3uo-i-S29WACLcBGAsYHQ/s1037/note-18-6-21.png https://twitter.com/petrovic082/status/1406155267801337858 https://1.bp.blogspot.com/-2kxEijGUfpA/YQUlAKHCDpI/AAAAAAAAaKc/O5OgVU_XN8cQ9R2hL08kjv5bcUKbLRiOwCLcBGAsYHQ/s1091/18-6-21-crystal.png https://www.virustotal.com/gui/file/5458f18e36de21d20b713f7acd8575fc8a86330c466e1b9dc6f41bc81f3e79fc/detection https://app.any.run/tasks/0250f05c-8571-48b6-8f2b-18cb142132e3/ https://twitter.com/GrujaRS/status/1422598223827451907 https://www.virustotal.com/gui/file/f261d0283d9f1e346a648537b859570741c52be11b95e527a108037d71363327/detection https://1.bp.blogspot.com/-4ghSAqBQmug/YaE0oTzZj8I/AAAAAAAAbEg/z3U2eXIkdv0S--H4CB9UzyuagjlRDq6vACLcBGAsYHQ/s1366/txt-note.png 27/33 Вариант от 11 августа 2021: Определено как Hakbit. Сообщение >> Расширение: .[ID-9C759153].[pingp0ng@tuta.io].noname Записка: decrypt_info.txt Email: pingp0ng@tuta.io, on1ine@tuta.io Вариант от 21 сентября 2021: Сообщение >> Зашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. Расширение: .cyber Записка: Инструкция.txt Email: cyber@outlookpro.net Файл: iE8JUAJp7.exe, Worker-0.exe Результаты анализов: VT + AR + TG ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.29 ALYac -> Trojan.Ransom.Thanos https://1.bp.blogspot.com/-5ShsTVgJ_rw/YaE0buimugI/AAAAAAAAbEY/TAZoNHaX2gEap-zs97zEk7N_gb_oSllywCLcBGAsYHQ/s1366/hta-note.jpg https://www.bleepingcomputer.com/forums/t/756665/decrypting-hackbit-id-9c759153pingp0ngtutaiononame-extension/?p=5238501 https://1.bp.blogspot.com/-W3lvb38gG-g/YRVaW4eDf4I/AAAAAAAAaPQ/589W3kyd5S8YrXc_OPcVZyCuxYWJ3NZxwCLcBGAsYHQ/s1149/note-11-8-21.png https://twitter.com/petrovic082/status/1440613948760358917 https://www.virustotal.com/gui/file/f70966e32d18a1e2ed51ebdcc6b985d8f7613febf0680639076c71ebeab6a350 https://app.any.run/tasks/5ed9a795-0038-48ad-9ba0-d89ced8f792a/ https://tria.ge/211010-vjzlragafj/behavioral2 https://1.bp.blogspot.com/-BQwrojshKmc/YWPw3rOjZUI/AAAAAAAAadg/MYccCWooTiwumSlNRVck7G_yLB4t6vRzQCLcBGAsYHQ/s836/info-1.png 28/33 BitDefender -> Gen:Trojan.Mardom.MN.12 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Kaspersky -> HEUR:Trojan.Win32.Generic Malwarebytes -> Malware.AI.3844476070 Microsoft -> Ransom:MSIL/Thanos.PA!MTB Rising -> Ransom.Thanos!1.D81A (CLASSIC) Symantec -> Ransom.Thanos Tencent -> Malware.Win32.Gencirc.11cf15a1 TrendMicro -> Ransom.MSIL.THANOS.SM --- Замеченные действия: Проверяет IP с помощью сайта "icanhazip.com" Отключает диспетчер задач через изменение реестра. Загружает и использует утилиту PsExec.exe с сайта с SysInternals. Запускает утилита sc.exe для управления службами в Windows. Изменяет ключи реестра, чтобы выводить сообщения: \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption = "Внимание Внимание Внимание!!!" \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText = "Добрый день. У Вас возникли сложности на работе? \r\nНе стоит переживать, наши IT-специалисты помогут Вам.\r\nДля этого напишите пожалуйста нам на почту.\r\n\r\nНаш email - cyber@outlookpro.net\r\n\r\nХорошего и продуктивного дня!" https://1.bp.blogspot.com/-jrAuSa8Qnzw/YWPw-eqU_8I/AAAAAAAAads/7MmhTRkm5-gicAU1Cqs9mi-wLPzhVBQqgCLcBGAsYHQ/s931/message.png https://1.bp.blogspot.com/-k9PODWusYMM/YWPwr3aIWJI/AAAAAAAAadc/LwPQ-PqFXlANnmjQKEltokbKjG_BX9mngCLcBGAsYHQ/s1127/screen1.jpeg https://1.bp.blogspot.com/-UHPZ0NzqaDE/YWPwr_gx6eI/AAAAAAAAadY/TjApXOUNlTkUT_2dV4FnvK9D_hk0iarmwCLcBGAsYHQ/s1127/screen2.jpeg 29/33 --- При просмотре файловых пар, например Lighthouse.jpg.cyber и Lighthouse.jpg, оказалось, что если убрать расширение .cyber у файла Lighthouse.jpg.cyber, то изображение не зашифровано и открывается. Вариант от 17 октября 2021: Расширение: .[ID-8C639BE9].[detect0r@tuta.io].helpme Записка: decrypt_info.txt Email: detect0r@tuta.io Telegram: @Online7_365 Вариант от 5 ноября 2021: Сообщение >> Расширение: .stepik Записка: RESTORE_FILES_INFO.txt Email: steriok12132@tutanota.com, kukajamba@tutanota.com Вариант от 16 ноября 2021: Топик на форуме >> Сообщение с образцами >> Расширение: .xot5ik Email: cyber@outlookpro.net Записка на русском языке: Инструкция.txt Sonar: savefile365 Tor-URL: hxxx://sonarmsng5vzwqezlvtu2iiwwdn3dxkhotftikhowpfjuzg7p3ca5eid.onion Результаты анализов: VT + VT ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.29 BitDefender -> IL:Trojan.MSILZilla.6980 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Malware.AI.3844476070 Microsoft -> Trojan:Win32/Sabsik.FL.B!ml, Ransom:MSIL/Thanos.MK!MTB https://1.bp.blogspot.com/-iaIdll3a8N0/YXRDdE_2AfI/AAAAAAAAakk/tOCsBqN_-AgjLnRnHUMU3cVjXCxmU7NcwCLcBGAsYHQ/s1059/note-17-10-21-w.png https://twitter.com/fbgwls245/status/1456480505625382914 https://1.bp.blogspot.com/-VMtmW07PoKM/YYbQJxwpXbI/AAAAAAAAauo/1Lnu7n2rlMEuJc-r6w4kE4MNkyWOB8H2ACLcBGAsYHQ/s956/note-5-11-21.jpg https://forum.kasperskyclub.ru/topic/87242-pojmali-shifrovalshhik-xot5ik-trebuetsja-pomoshh-v-identifikacii-i-deshifrovke/ https://twitter.com/fbgwls245/status/1463448486800592902 https://www.virustotal.com/gui/file/74a717027b6212236662bf641c473b8f8cd65486898b02940357bb9b3035f38a https://www.virustotal.com/gui/file/ce686daaf9d97fb2c42d9789d19f1dbdb81d1b45851cf3d9e67f46b578365764 30/33 Rising -> Trojan.AntiVM!1.CF63 (CLASSIC) Symantec -> Ransom.Thanos Tencent -> Win32.Trojan.Generic.Sxoq, Win32.Trojan.Generic.Wuht TrendMicro -> Ransom.MSIL.THANOS.SM Вариант от 16 ноября 2021: Сообщение >> Записка: decrypt_info.txt Email: bugagaga@tuta.io Telegram: @Online7_365 Вариант от 4 декабря 2022: Сообщение >> Расширение: .[ID-XXXXXXXX].unlock Результаты анализов: VT ➤ Обнаружения: BitDefender -> IL:Trojan.MSILZilla.7042 DrWeb -> Trojan.EncoderNET.31368 https://1.bp.blogspot.com/-Fy82smLnu8c/YZkz7IFRyyI/AAAAAAAAa7Q/sOApOdGFs0I1l1qreqGOaHMn-7by1mHIQCLcBGAsYHQ/s1265/note-16-11-21-rus.png https://1.bp.blogspot.com/-FqlT8lVeSHM/YZkz_k5g-yI/AAAAAAAAa7U/QusfaL1Pszg8MxagIxsuvtKL6S9epTolQCLcBGAsYHQ/s1242/sonar-site.png https://www.bleepingcomputer.com/forums/t/721616/hakbit-thanos-ransomware-crypted-support-topic/?p=5281530 https://1.bp.blogspot.com/-xsF6qkmP2mU/YZkyayZJ6hI/AAAAAAAAa7I/8zlbOQzTYv0-TzCfB1rFDTNvbiLhN7UkACLcBGAsYHQ/s1148/note-16-11-21.png https://twitter.com/fbgwls245/status/1466981846500388864 https://www.virustotal.com/gui/file/5ee42cc91ee256752213dbd7525816273a29257df0c52984865b7c34c51df1a2 31/33 ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Kaspersky -> HEUR:Trojan-Ransom.MSIL.Thanos.gen Malwarebytes -> Malware.AI.4269665178 Microsoft -> Ransom:MSIL/Thanos.DC!MTB Tencent -> Msil.Trojan.Thanos.Szbg TrendMicro -> Ransom.MSIL.THANOS.SM Вариант от 6 декабря 2021: Сообщение >> Расширение: .[ID-XXXXXXXX].tgipus Записка: RESTORE_FILES_INFO.txt Результаты анализов: VT + AR Вариант от 17 декабря 2021 или раньше: Сообщение >> Записка: RESTORE_FILES_INFO.txt Twitter: RobinHoodLeaks URL: hxxxs://robinhoodleaks.tumblr.com/ qTOX ID: 671263E7BC06103C77146A*** Вариант от 24 декабря 2021: Сообщение >> Записка: decrypt_info.txt Email: bloody7@tuta.io Telegram: @Online7_365 === 2022 === Вариант от 5 января 2022: Сообщение >> https://twitter.com/petrovic082/status/1467903321969246216 https://www.virustotal.com/gui/file/e64edc53f3457a0608354c18f398787fc2d281a9f4246724d2d73d9ddc34a861 https://app.any.run/tasks/905f1172-3c1a-4e8d-96b3-5aac6964242e/ https://www.bleepingcomputer.com/forums/t/765458/ https://blogger.googleusercontent.com/img/a/AVvXsEhHBfy5ZBpWEW7Tr5Ekoriad4l3ugNjoyNDOeOgNAuw0loyoZ-Avryw9e0AfIz6YpFrC1MFkukchJ481K-FjkFkykb13_mX-rx3zzbUWt364QT1YRbmZ8NIBb4KJF9wm78HeTxi62BRd783WLIYT_ZzGHXiHPb3iY6bcpfUKeA2XqXMVH3YcHaXQZjn=s1236 https://blogger.googleusercontent.com/img/a/AVvXsEiMZ-BHByrqc20QYwJ9tLNlyx7--kB2qjPRTeEt7DCOAfUGBLKgiziV106exz0j_cYZIkNNIriWY7IfgdIAsXqrQLZmJ2YQjHqwPATLbXFvTZ9JMTKhFE-LWd3P1_AvpIhmUamI9TZflo9v51QZyzCGugWvvDVCONFzencvIs16KleMcjuOnydH8rQi=s1385 https://forum.kasperskyclub.ru/topic/88148-shifrovalshhik-bloody7tutaiohelpme/ https://blogger.googleusercontent.com/img/a/AVvXsEgvVoEgMnB37nBdhWef8_UyyN3cg1wTAth-YqiIgGbBhZbmg28P0Rux1AsqTVUvnP2D-Ho9yZU1mYHZlMEqFyzcJjEOYCbNkRcx4rFWF4imwyMFIw9S6C_tcrV8PRDxW1LtVXGXthGEJ4x_qAJdpe441SU8t8aE9GY80VPw-9MHG97Sa7UEspCzBgRF=s1006 https://forum.kasperskyclub.ru/topic/88343-zashifrovalis-fajly/ 32/33 Зашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. Расширение: .ps1wek Записка на русском языке: Инструкция.txt Email: secure820@msgsafe.io Sonar: savefile365 Результаты анализов: VT ➤ Обнаружения: DrWeb -> Trojan.EncoderNET.29 BitDefender -> Trojan.MSIL.Basic.6.Gen ESET-NOD32 -> A Variant Of MSIL/Filecoder.Thanos.A Malwarebytes -> Malware.AI.2718680342 Rising -> Trojan.Generic/MSIL@AI.90 (RDM.MSIL:2ufeXcvEXJK79F7JTViftA) Symantec -> Ransom.Thanos Tencent -> Win32.Trojan.Generic.Dygo TrendMicro -> Ransom.MSIL.THANOS.SM Вариант от 4 февраля 2022: Расширение: .SABS Записка: RESTORE_FILES_INFO.txt Результаты анализов: VT Вариант от 8 февраля 2022: Зашифрован вариантом Thanos. Невозможно расшифровать без закрытого RSA-ключа. Сообщение >> Расширение: .mxf1bd Запсика: Инструкция.txt Email: secure822@msgsafe.io Sonar: savefile365 https://blogger.googleusercontent.com/img/a/AVvXsEgE9rjwj58R7JoqJ2aAe0CnFCUAiMfuHdDz6LoqwV4PpuxvWY7p5RZoJsFPY5bzChsB-bhWKE0-gpoRFxBRotl3bLo30scylGPFhUJRhtt3E5Q0nwCR6vMiFDGEIOWinQFowGUF58LhHIKDF--aP8LMy7Syp6w4KDGQhoUaWtt2DI2o2XY4lGLMoEfE=s1087 https://blogger.googleusercontent.com/img/a/AVvXsEjJK5NyJIpXcdfh-h0vMSd9r22Zlyf9HFQd4GB2v_EamQl0bLa0tk8m9K0TcGr7o9XKjOrcBUqHC_clV9A-XDAUge4rh2sFIsy7OMqT88UwaYMzjcrgTG4fQL7W-8BslizyLAwp75oQoVhWhziAQKp6QcdYzhQvZxR5O3rHkbcU6ugWbSEKHB_il4kM=s634 https://www.virustotal.com/gui/file/f9533288e6a7279195902c8691d5f223c77015fa332b56e23aeec3581c0cdbdb/detection https://www.virustotal.com/gui/file/9fd501a600ade774b27a3c635b271802a8ea471f5f84255d1bd71f50256afc89 https://forum.kasperskyclub.ru/topic/89142-shifrovalshik-s-formatom-mxf1bd/ 33/33 Вариант от 7 марта 2022: Расширение: .[ID-2A257XXX].[blackcat7@tuta.io].777 Записка: decrypt_info.txt © Amigo-A (Andrew Ivanov): All blog articles. https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7ROZHUNDkBhDSwu7lZ6GaSBray9JNTQMOuYh5sqWF7xNRiuHJNj1tCmAlrWgMKCClxOQZbK1aNyAIvuDe4Wkg0EacW7N8puNgYcJlzw2FTmFEugoSatFKjMzLpL_t40zHfMfZ01LRVblqIlm798SGZxj8UxTpbBzDndoQ_Zy73gwHbg4HQhPHAY-8/s1066/note-8-2-22.png