{
	"id": "e2832765-de6c-4ccf-aee1-d2dea9237e66",
	"created_at": "2026-04-06T01:29:41.650114Z",
	"updated_at": "2026-04-10T13:12:58.115777Z",
	"deleted_at": null,
	"sha1_hash": "d01730c9a940380a89ff7d9969211c10e648c7bd",
	"title": "TargetCompany",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 746605,
	"plain_text": "TargetCompany\r\nArchived: 2026-04-06 01:22:20 UTC\r\nTargetCompany Ransomware\r\nTarget_Company Ransomware\r\n\"Tohnichi\" Ransomware\r\nNextGen: Mallox, Brg, Exploit, Avast, Fargo, xollam, bitenc, malox, maloxx,\r\nmallab, et al\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью  комбинации алгоритмов ChaCha20,\r\nAES-128, Curve25519, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в\r\nзаписке не указано. На файле написано: local.exe. Используется CryptGenRandom для генерации ключа\r\nшифрования. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34027\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Generic\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLASSIC)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Filecoder.Wrqd\r\nTrendMicro -\u003e Ransom_GarrantDecrypt.R002C0DFG21\r\n---\r\n© Генеалогия: предыдущие (GarrantDecrypt, Outsider) \u003e TargetCompany\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 1 of 22\n\nСайт \"ID Ransomware\" идентифицирует это как TargetCompany.\r\nИнформация для идентификации\r\nАктивность раннего варианта этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на\r\nанглоязычных пользователей, может распространяться по всему миру, но в основном направлен против\r\nорганизаций на Тайване, в Южной Корее, Таиланде и Индии.\r\nК зашифрованным файлам добавляется расширение: \r\n.\u003ctarget_company\u003e\r\n.\u003ctarget_pc\u003e\r\n.\u003cknown_name\u003e\r\n.\u003cknown_word\u003e\r\n.mallox с вариантами\r\nи прочие. \r\nВ расширении сначала использовалось название атакованной компании или название атакованного\r\nкомпьютера. Позже вымогатели стали использовать любое известное название, чтобы сбить с толку и\r\nзапутать пострадавшего и того, кто будет анализировать случай. \r\nПример такого расширения: у файлов атакованной компании \"Tohnichi\" было расширение: .tohnichi\r\nЗаписка с требованием выкупа называется: How to decrypt files.txt\r\nСодержание записки о выкупе:\r\nYour personal identifier: 07B8AC198***\r\nAll files on TOHNICHI network have been encrypted due to insufficient security.\r\nThe only way to quickly and reliably regain access to your files is to contact us.\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 2 of 22\n\nThe price depends on how fast you write to us.\r\nIn other cases, you risk losing your time and access to data. Usually time is much more valuable than money.\r\nFAQ\r\nQ: How to contact us\r\nA: * Download Tor Browser - https://www.torproject.org/\r\n   * Open link in Tor Browser http://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact\r\n   * Follow the instructions on the website.\r\nQ: What guarantees? \r\nA: Before paying, we can decrypt several of your test files. Files should not contain valuable information.\r\nQ: Can I decrypt my data for free or through intermediaries?\r\nA: Use third party programs and intermediaries at your own risk. Third party software may cause permanent data\r\nloss. \r\n   Decryption of your files with the help of third parties may cause increased price or you can become a victim of a\r\nscam. \r\nПеревод записки на русский язык:\r\nВаш персональный идентификатор: 07B8AC198 ***\r\nВсе файлы в сети TOHNICHI зашифрованы из-за недостаточной безопасности.\r\nЕдинственный способ быстро и надежно восстановить доступ к вашим файлам - это связаться с нами.\r\nЦена зависит от того, как быстро вы нам напишите.\r\nВ других случаях вы рискуете потерять время и доступ к данным. Обычно время гораздо дороже денег.\r\nFAQ\r\nВ: Как с нами связаться\r\nО: * Загрузите браузер Tor - https://www.torproject.org/\r\n* Откройте ссылку в браузере Tor \r\nhttp://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact\r\n* Следуйте инструкциям на сайте.\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 3 of 22\n\nВ: Какие гарантии?\r\nО: Перед оплатой мы можем расшифровать несколько ваших тест-файлов. Файлы не должны содержать\r\nценной информации.\r\nВ: Могу ли я расшифровать свои данные бесплатно или через посредников?\r\nО: Используйте сторонние программы и посредников на свой страх и риск. Программы сторонних\r\nпроизводителей могут привести к потере данных.\r\nРасшифровка ваших файлов с помощью третьих лиц может привести к удорожанию или вы можете стать\r\nжертвой мошенничества.\r\nПострадавшая компания, посетив URL вымогателей, должна указать ID из записки и свой контактный\r\nemail для получения письма от вымогателей. \r\nКороткое сообщение на сайте:\r\nYour company's files have been encrypted!\r\nВнимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях.\r\nТам могут быть различия с первоначальным вариантом. \r\nТехнические детали + IOC\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 4 of 22\n\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки командами:\r\nvssadmin.exe  delete shadows /all /quiet\r\nbcdedit  /set {current} bootstatuspolicy ignoreallfailures\r\nbcdedit  /set {current} recoveryenabled no\r\nПо завершении шифрования самоудаляется. \r\nВырубает следующие процессы:  \r\nfdhost.exe, fdlauncher.exe, MsDtsSrvr.exe, msmdsrv.exe, mysql.exe, ntdbsmgr.exe, oracle.exe,\r\nReportingServecesService.exe, sqlserv.exe, sqlservr.exe, sqlwrite, и другие, которые могут помешать\r\nшифрованию файлов. \r\nСписок типов файлов, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 5 of 22\n\nСписок исключений-1:\r\n.386, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .ico, .key, .ldf, .lnk, .msc, .msi, .msp, .nls,\r\n.ocx, .prf, .scr, .shs, .spl, .sys, .wpx \r\nСписок исключений-2:\r\n.386, .adv, .ani, .bat, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcfg, .diagpkg, .diangcab, .dll, .drv, .exe,\r\n.hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia,\r\n.ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx\r\nСписок пропускаемых директорий: \r\n$windows.~bt, $windows.~ws, appdata, application data, Assemblies, boot, boot, Common Files, Core Runtime,\r\ngoogle, intel, Internet Explorer, Microsoft Analysis Services, Microsoft ASP.NET, Microsoft Help Viewer,\r\nMicrosoft MPI, Microsoft Security Client, Microsoft Security Client, Microsoft.NET, mozilla, msocache,\r\nPackage, Package Store, perflogs, programdata, Reference, system volume information, tor browser, Windows,\r\nWindows Defender, Windows Kits, Windows Mail, Windows NT, Windows Photo Viewer, Windows Portable\r\nDevices, Windows Sidebar, Windows Store, windows.old, WindowsPowerShell\r\nФайлы, связанные с этим Ransomware:\r\nHow to decrypt files.txt - название файла с требованием выкупа;\r\nlocal.exe - название вредоносного файла. \r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\open\\command rundll32.exe\r\nSet value (str) \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\open\\command\\ = \"%SystemRoot%\\\\system32\\\\NOTEPAD.EXE %1\"\r\nrundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-1000_Classes\\Local Settings\r\nrundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\\Local\r\nSettings\\Software\\Microsoft\\Windows\\Shell\\MuiCache rundll32.exe\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 6 of 22\n\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file rundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\\.tohnichi\r\nrundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell rundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\edit\\command rundll32.exe\r\nSet value (str) \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\\.tohnichi\\ =\r\n\"tohnichi_auto_file\" rundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\edit rundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-1000_Classes\\Local Settings\r\nrundll32.exe\r\nSet value (str) \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\ rundll32.exe\r\nSet value (str) \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\edit\\command\\ = \"%SystemRoot%\\\\system32\\\\NOTEPAD.EXE %1\"\r\nrundll32.exe\r\nKey created \\REGISTRY\\USER\\S-1-5-21-2513283230-931923277-594887482-\r\n1000_CLASSES\\tohnichi_auto_file\\shell\\open rundll32.exe\r\nСм. ниже результаты анализов.\r\nМьютексы:\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nTor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact\r\nEmail: - \r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nIOC: VT, HA, IA, TG, AR, VMR, JSB\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 7 of 22\n\nMD5: d687eb9fea18e6836bd572b2d180b144\r\nSHA-1: 0e7f076d59ab24ab04200415cb35037c619d0bae\r\nSHA-256: 863e4557e550dd89e5ca0e43c57a3fc1889145c76ec9787e97f76e959fc8e1e1\r\nVhash: 015056655d155510f8z73hz2075zabz\r\nImphash: c8318053dac1b12c686403fde752954c\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nИстория этого семейства вымогателей последовательно отражена в добавленных ниже вариантах. \r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 7 июля 2021: \r\nРасшиение: .artiis\r\nЦель атаки: Artiis\r\nЗаписка: HOW TO RECOVER !!.TXT\r\nТекст в записке отличается только названием пострадашей компании:\r\n***\r\nAll files on A.R.T.I.S network have been encrypted due to insufficient security.\r\n***\r\nTor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact\r\nФайл: local.exe\r\nРезультаты анализов: IOC: VT, IA\r\nMD5: 1438557a2ce68d12cbd540d3d256c583\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 8 of 22\n\nSHA-1: 7edf16629b924e3f479ea0e82e91a32c54706489\r\nSHA-256: 63fd08783dd07959fbdaadc26058a3b7e29c1c7053b570989be352db9b541f36\r\nVhash: 015056655d155510f8z73hz2075zabz\r\nImphash: c8318053dac1b12c686403fde752954c\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34027\r\nALYac -\u003e Trojan.Ransom.GarrantyDecrypt\r\nAvira (no cloud) -\u003e TR/AD.RansomHeur.hmjvc\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nKaspersky -\u003e HEUR:Trojan-Ransom.Win32.Generic\r\nMalwarebytes -\u003e Ransom.FileCryptor\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLASSIC)\r\nSymantec -\u003e Trojan.Gen.2\r\nTrendMicro -\u003e Ransom_GarrantDecrypt.R002C0DFG21\r\nВариант от 10 августа 2021:\r\nРасширение: .herrco \r\nЦель атаки: HERRCO\r\nЗаписка: How to decrypt files.txt\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 9 of 22\n\nРезультаты анализов: IOC: VT, IA, TG\r\nMD5: af8c28577e447bb43f80cc81c518d146\r\nSHA-1: 206f2335b0d7e42553bac9841e67b7f3c8e2d645\r\nSHA-256: 415321444d2ab732e84ff7acb4739e09827ee2fcc748d0fa1d7504bae1d133a3\r\nVhash: 015056655d155510f8z73hz2075zabz\r\nImphash: c8318053dac1b12c686403fde752954c\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34027\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nMalwarebytes -\u003e Malware.AI.140777825\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLASSIC)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 10 of 22\n\nTencent -\u003e Win32.Trojan.Filecoder.Lqfc\r\nTrendMicro -\u003e Ransom.Win32.GARRANTDECRYPT.SM\r\nВариант от 26 октября 2021:\r\nРасширение: .mallox\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: israel@mailfence.com, mallox@tutanota.com\r\nФайлы: ConsoleApp2.exe, AdvancedRun.exe\r\nРезультаты анализов: IOC: VT, IA, AR\r\nMD5: 315aaf1f0128e50999fd5b82949a9267\r\nSHA-1: cf16a16a1865d444da3a9636cdc176fcc5b6c758\r\nSHA-256: e5f20c03da31983648fca8c76f9be565e7d2fb13e2c5bc85da012d72e81dbf1c\r\nVhash: 23503675551140133811030\r\nImphash: f34d5f2d4577ed6d9ceec516c1f5a744\r\n➤ Обнаружения:\r\nBitDefender -\u003e IL:Trojan.MSILZilla.13190\r\nDrWeb -\u003e Trojan.Loader.892\r\nESET-NOD32 -\u003e A Variant Of MSIL/Kryptik.ADHJ\r\nMicrosoft -\u003e Trojan:MSIL/AgentTesla.KA!MTB\r\nSymantec -\u003e MSIL.Packed.9\r\nTencent -\u003e Win32.Trojan.Ransom.Ctho\r\nTrendMicro -\u003e TROJ_GEN.R02CC0DJT21\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 11 of 22\n\nВариант от 27 ноября 2021:\r\nЦель атаки: BRG\r\nРасширение: .brg\r\nФайл: 79wnbm97b.dll\r\nTor-URL: hxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/*\r\nРезультаты анализов: IOC: VT + TG + IA\r\nMD5: 99e949ddd57dbc19457eba5f235516f3\r\nSHA-1: 99f9270e85ec53b8dada459279d30e8b169462c1\r\nSHA-256: e351d4a21e6f455c6fca41ed4c410c045b136fa47d40d4f2669416ee2574124b\r\nVhash: 015056655d155510f8z73hz2075zabz\r\nImphash: c8318053dac1b12c686403fde752954c\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.34027\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLOUD)\r\nSymantec -\u003e Ransom.CryptoTorLocker\r\nTencent -\u003e Win32.Trojan.Filecoder.Hxgj\r\nTrendMicro -\u003e Ransom.Win32.GARRANTDECRYPT.SM\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 12 of 22\n\nВариант от 16 декабря 2021: \r\nЦель атаки: Architek\r\nРасширение: .architek\r\nЗаписки: How to decrypt files.txt\r\nФайл: share.exe\r\nРезультаты анализов: IOC: VT \r\nMD5: 2acb21c02b38dad982d78ebff7cfa2d3\r\nSHA-1: 75543627f8f2ab0c85228372a0eca6928ee84b7d\r\nSHA-256: af723e236d982ceb9ca63521b80d3bee487319655c30285a078e8b529431c46e\r\nVhash: 015056655d155510f8z731z2dz2075za1z17z\r\nImphash: 23aaf53347d1ff573792bd5165932149\r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34933\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLOUD)\r\nTrendMicro -\u003e Ransom.Win32.GARRANTDECRYPT.SM\r\n=== 2022 ===\r\nВариант от 5 января 2021:\r\nРасширение: .mallox\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: recohelper@cock.li, mallox@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 13 of 22\n\nФайл: hbatka.exe\r\nРезультаты анализов: IOC: VT + IA + TG\r\nMD5: a765dbcbac57a712e2eb748fe6fd5e7c\r\nSHA-1: 59c51f9d5f699b6aa6b3e37fcd93da87ce79d815\r\nSHA-256: 7e6cd2bf820d81c9389c549cfe482bcdb1b57c5f39d53b63cd1efb79699e7ae6\r\nVhash: 2740365555111083340010\r\nImphash: f34d5f2d4577ed6d9ceec516c1f5a744\r\n➤ Обнаружения:\r\nBitDefender -\u003e Trojan.GenericKD.38452928\r\nDrWeb -\u003e Trojan.Siggen16.26133\r\nESET-NOD32 -\u003e A Variant Of MSIL/TrojanDownloader.Agent.JXX\r\nMalwarebytes -\u003e Ransom.Mallox\r\nMicrosoft -\u003e TrojanDownloader:MSIL/MalloxAgent!MTB\r\nSymantec -\u003e MSIL.Downloader!gen7\r\nTencent -\u003e Msil.Trojan-downloader.Agent.Lmkj\r\nTrendMicro -\u003e TROJ_FRS.0NA103A622 \r\nВариант от 25 января 2022:\r\nРасширение: .exploit\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: newexploit@tutanota.com\r\nРезультаты анализов: VT + TG + IA\r\nMD5: 1f6297d8f742cb578bfa59735120326b\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 14 of 22\n\nSHA-1: ff6eca213cad5c2a139fc0dc0dc6a8e6d3df7b17\r\nSHA-256: 3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673\r\nVhash: 015056655d15551138z771z2dz2065za1z17z\r\nImphash: 1c1a27cb29df6923d860b330c9f7a54f\r\n➤ Обнаружения: \r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nDrWeb -\u003e Trojan.MulDrop19.15312\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OJC\r\nMalwarebytes -\u003e Ransom.FileLocker\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLOUD)\r\nSymantec -\u003e Downloader\r\nTencent -\u003e Win32.Trojan.Filecoder.Eaxm\r\nTrendMicro -\u003e Ransom.Win32.NEWEXPLOIT.THBOBBB\r\nВариант от 14 февраля 2022: \r\nРасширение: .carone\r\nЗаписка: How to decrypt files.txt\r\nTor-URL: hxxx://jnjorcburoayrwfrmnq3czngju76wdjyuyufqaep6joutvidohuh24ad.onion/contact\r\nРезультаты анализов: IOC: VT + TG\r\nMD5: ed2fd6050340ecc464621137c7add3ad\r\nSHA-1: 07adc67a3c72e76127ced9c0d72cea32b40d5c55\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 15 of 22\n\nSHA-256: 53d606ea6cea8fba9ca4fdd1af411c1212ad20678cd22a43697c4b8e9b371f62\r\nVhash: 015056655d155510f8z731z2dz2075za1z17z\r\nImphash: 23aaf53347d1ff573792bd5165932149 \r\n➤ Обнаружения:\r\nDrWeb -\u003e Trojan.Encoder.34933\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OHO\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLOUD)\r\nTencent -\u003e Win32.Trojan.Filecoder.Akyx\r\nTrendMicro -\u003e Ransom.Win32.GARRANTDECRYPT.SM\r\nВариант от 20 февраля 2022:\r\nРасширение: .avast\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: mallox@tutanota.com, recohelper@cock.li \r\nРезультаты анализов: VT + AR\r\nВариант от 23 февраля 2022:\r\nРасширение: .consultransom\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: consultransom@tutanota.com\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 16 of 22\n\n➤ Содержание записки: \r\nYOUR FILES ARE ENCRYPTED !!!\r\nTO DECRYPT, FOLLOW THE INSTRUCTIONS:\r\nTo recover data you need decrypt tool.\r\nTo get the decrypt tool you should:\r\n1.In the letter include your personal ID! Send me this ID in your first email to me!\r\n2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!\r\n3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! \r\n4.We can decrypt few files in quality the evidence that we have the decoder.\r\nCONTACT US:\r\nconsultransom@tutanota.com\r\nconsultransom@protonmail.com\r\nYOUR PERSONAL ID: ***\r\n---\r\nРезультаты анализов: IOC: VT + IA + TG\r\nMD5: 8e4fa69d87a6d3c6d7e6c699b25cc2ab\r\nSHA-1: e5981cfe6ded85b01b10f4b2a5fc2f8537a63b31\r\nSHA-256: 6a0d713e89b61a8709f8d55e19631ec31370d87880a478704609eee78ccd3c18\r\nVhash: 015056655d15556138z72z2dz2061z11za1z17z\r\nImphash: 7d1a1ba7b3fa066ca05e323a7d526151\r\n➤ Обнаружения: \r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 17 of 22\n\nDrWeb -\u003e Trojan.Encoder.34991\r\nBitDefender -\u003e Gen:Heur.Ransom.REntS.Gen.1\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OJC\r\nMicrosoft -\u003e Ransom:Win32/GarrantDecrypt.PA!MTB\r\nRising -\u003e Ransom.Outsider!1.D74B (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Filecoder.Eckt\r\nTrendMicro -\u003e Ransom_GarrantDecrypt.R002C0DBN22\r\nВариант от 7 марта 2022: \r\nРасширение: .devicZz\r\nЗаписки: HOW TO RECOVER.TXT, RECOVERY INFORMATION.txt\r\nEmail: deviceZz@mailfence.com\r\n➤ Содержание записки: \r\nYOUR FILES ARE ENCRYPTED !!!\r\nTO DECRYPT, FOLLOW THE INSTRUCTIONS:\r\nTo recover data you need decrypt tool.\r\nTo get the decrypt tool you should:\r\n1.In the letter include your personal ID! Send me this ID in your first email to me!\r\n2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!\r\n3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!\r\n4.We can decrypt few files in quality the evidence that we have the decoder.\r\nCONTACT US:\r\ndeviceZz@mailfence.com\r\nYOUR PERSONAL ID: ***\r\nВариант от 7 мая 2022:\r\nРасширение: .acookies\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 18 of 22\n\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: acookies@tutanota.com, acookies@onionmail.org\r\nВариант от 17 мая 2022:\r\nРасширение: .bozon3\r\nЗаписка: RECOVERY INFORMATION.txt\r\nEmail: mallox@stealthypost.net, recohelper@cock.li\r\nВариант от 22 июня 2022 или раньше:\r\nРасширение: .FARGO\r\nЗаписка: FILE RECOVERY.txt\r\nEmail: mallox@tutanota.com, recohelper@cock.li\r\nРезультаты анализа: VT + IA\r\nОбнаружения: \r\nDrWeb -\u003e Trojan.Encoder.35480\r\nBitDefender -\u003e Generic.Malware.2g.5A4C2FA8\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OJC\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 19 of 22\n\n=== 2023 ===\r\nВариант от 11 января 2023 (возможно был в октябре 2022): \r\nРасширение: .FARGO3\r\nЗаписка: RECOVERY FILES.txt\r\nEmail: mallox@stealthypost.net, recohelper@cock.li\r\nВариант от 21 апреля 2023:\r\nРасширение: .brocamel\r\nЦель: BroCamel\r\nЗаписка: How to decrypt files.txt\r\nTor-URL: hxxx://hye34tlszbt562z34d4k36eia2vq5tnhhd3mimrt5n5cdovbqnan3myd.onion\r\nДобавление новых образцов и вариантов прекращено. \r\nСписок пополняемых вариантов и образцов от rivitna:\r\n.mallox\r\n.bitenc\r\n.xollam\r\n.malox\r\n.maloxx\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 20 of 22\n\n.malloxx\r\n.mallab\r\n.ma1x0\r\ngithub.com/rivitna/Malware/blob/main/Mallox/MallabDecryptorEx/Supported_samples.txt\r\n=== 2024 ===\r\nНовость от 5 июня 2024: \r\nTrend Micro сообщает, что новый вариант TargetCompany Ransomware для Linux (для VMware ESXi)\r\nпроверяет административные привилегии, прежде чем продолжить вредоносную процедуру. Чтобы\r\nзагрузить и выполнить свой пейлоад, злоумышленники используют собственный сценарий, который может\r\nпереносить данные на два отдельных сервера.\r\nПопав в целевую систему, пейлоад проверяет, работает ли он в среде VMware ESXi, выполняя команду\r\n\"uname\" и ища \"vmkernel\".\r\nЗатем создается файл TargetInfo.txt и отправляется на сервер управления и контроля (C2). Он содержит\r\nинформацию о жертве (имя хоста, IP-адрес, сведения об ОС, вошедшие в систему пользователи и\r\nпривилегии, уникальные идентификаторы и сведения о зашифрованных файлах и каталогах).\r\nRansomware шифрует файлы с расширениями, связанными с виртуальной машиной (vmdk, vmem, vswp,\r\nvmx, vmsn, nvram), добавляя к полученным файлам расширение \".locked\".\r\nНаконец, добавляется записка с требованием выкупа под названием HOW TO DECRYPT.txt, содержащая\r\nинструкции для жертвы о том, как заплатить выкуп и получить действительный ключ дешифрования.\r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Message + myMessage + Message\r\n Write-up, Topic of Support\r\n Описание у DrWeb \u003e\u003e\r\n🔓 Внимание! В некоторых случаях файлы можно расшифровать.\r\nПишите по этой ссылке к Майклу Джиллеспи \u003e\u003e\r\n***\r\nИли скачайте дешифровщик от Avast по ссылке \u003e\u003e\r\nРасшифровка для вариантов с расширениями: .mallox, .exploit, .architek, .brg\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 21 of 22\n\n🔓 Mallox decryptor (extended version) by rivitna\r\n*.mallox (from October 2022 to March 2023)\r\n*.xollam (January 2023)\r\n*.malox (from April 2023 to July 2023)\r\n*.mallox (August 2023)\r\n*.xollam (August 2023)\r\n*.malloxx (August 2023)\r\n*.mallab (from September 2023 to October 2023)\r\nLink: https://github.com/rivitna/Malware/tree/main/Mallox/MallabDecryptorEx\r\nArchive password: 5r1@*2lh-baVuK(=7acc\r\n Thanks:\r\n dnwls0719, S!Ri, Michael Gillespie, rivitna\r\n Andrew Ivanov (article author)\r\n Company Avast\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html\r\nPage 22 of 22",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html"
	],
	"report_names": [
		"tohnichi-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775438981,
	"ts_updated_at": 1775826778,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d01730c9a940380a89ff7d9969211c10e648c7bd.pdf",
		"text": "https://archive.orkl.eu/d01730c9a940380a89ff7d9969211c10e648c7bd.txt",
		"img": "https://archive.orkl.eu/d01730c9a940380a89ff7d9969211c10e648c7bd.jpg"
	}
}