MafiaWare666 Ransomware IOCs

ransomware IOC
Опубликовано

MafiaWare666 - это штамм ransomware, написанный на C#, который не содержит никаких методов обфускации или анти-анализа. Он шифрует файлы с помощью шифрования AES.

Программа-вымогатель ищет в специальных папках (Desktop, Music, Videos, Pictures и Documents) и шифрует файлы со следующими расширениями:

3fr 7z accdb ai apk arch00 arw asp aspx asset avi bar bat bay bc6 bc7 big bik bkf bkp blob bsa c cas cdr cer cfr cpp cr2 crt crw cs css csv csv d3dbsp das dazip db0 dba dbf dcr der desc divx dmp dng doc doc docm docx docx docx dwg dxg epk eps erf esm ff flv forge fos fpk fsh gdb gho h hkdb hkx hplg hpp html hvpl ibank icxs indd index itdb itl itm iwd iwi jpe jpeg jpg js kdb kdc kf layout lbf litemod lrf ltx lvl m2 m3u m4a map mcmeta mdb mdb mdbackup mddata mdf mef menu mkv mlx mov mp3 mp4 mpeg mpqge mrwref ncf nrw ntl odb odc odm odp ods odt odt ogg orf p12 p7b p7c pak pdd pdf pef pem pfx php pk7 pkpass png ppt ppt pptm pptx pptx psd psk pst ptx py qdf qic r3d raf rar raw rb re4 rgss3a rim rofl rtf rw2 rwl sav sb sid sidd sidn sie sis slm sln snx sql sql sr2 srf srw sum svg syncdb t12 t13 tax tor txt upk vb vcf vdf vfs0 vpk vpp_pc vtf w3x wallet wav wb2 wma wmo wmv wotreplay wpd wps x3f xlk xls xls xlsb xlsm xlsx xlsx xlsx xml xxx zip zip ztmp

Зашифрованные файлы получают новое расширение, которое различается у разных образцов.

  • .MafiaWare666
  • .jcrypt
  • .brutusptCrypt
  • .bmcrypt
  • .cyberone
  • .l33ch

После завершения процесса шифрования программа-вымогатель выводит окно с инструкциями, объясняющими, как заплатить выкуп. Инструкции предлагают жертвам связаться со злоумышленником и заплатить ему в Bitcoin. Цена выкупа относительно невысока - от 50 до 300 долларов США, хотя некоторые старые образцы с другими названиями требуют гораздо больше, вплоть до одного Биткойна, что на момент публикации составляет около 20 000 долларов США.

Indicators of Compromise

SHA256

  • 5d4ba2e6cc18dc509e73f3ceeea82a83ca252d07444a6b669947d31f60c6dfb8
  • 6e91c9b5d052842093c6c292ec8224755d376aba6172d94faa241d8b192cb265
  • 73d8e7baa073997d060ecf826b533263cf857a89b36a5fea809b7dbfc70b2d25
  • 8324172e89866ed7122a9518bdc07e07ec2d173462dbbe2ff030fb408bc18123
  • 89ebe17b6dbb9dac780a4e2fe38da0261fa671cc79f4fe07cb9d26d9c0e447d2
  • 8c1a97f84caa9d58940d936a1c79c1c8d5fb791e1b3cac9fda22d195d3aeaea9
  • 979962e2d9f64ee15854e6df908627c90ab85a0a346c11656df46d3130459dc9
  • ee376851cb318f77b9c8b715a09c5c0ce11043f679bb39fa5b5d67242c1c3bb9
Похожие записи:
  1. Lorenz Ransomware Group IOCs
  2. Roundup Ransomware/Chile Locker IOCs
  3. Diavol Ransomware IOCs - Part 3
  4. Cheerscrypt Ransomware IOCs
  5. BlackByte Ransomware IOCs - Part 4
Avast MafiaWare666 Ransomware
Добавить комментарий