суббота, 17 ноября 2018 г.

Vapor

Vapor Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название. На файле написано: Vapor Ransomwarev1 и Vapor Ransomwarev1.exe. Разработчик: Ghosty/DeaDHackS

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Vapor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
Vapor Ransomware шифровальщик-вымогатель
Vapor Ransomware note

Содержание текста о выкупе:
Vapor Ransomware
You Have Been Caught.
---
What Happened To Me?
All your private data, files, cookies, application and much more as been encrypted into a strong encryption!
The only way to get it back is by sending a support email at this email:
deadhacksteam@gmail.com
Please make sure your Client ID is included so we can recognise you and send back the key.
When its done, enter the key into the key box and enjoy your day / night.
You have 48 hours to send the email, if the timer runs out your files will be deleted.
If you restart the PC or kill the program, you will never be able to get your files back since they will be re-encrypted if you re-launch the program.
Basically closing the program in anyway will result in loosing the key.
- Good Luck, Good Time.
- DeaDHackS Team!

Перевод текста на русский язык:
Vapor Ransomware
Вы были пойманы.
---
Что со мной случилось?
Все ваши личные данные, файлы, файлы cookie, приложение и многое другое зашифрованы в надежное шифрование!
Единственный способ вернуть его - отправить email на этот адрес:
deadhacksteam@gmail.com
Пожалуйста, проверьте, что ваш Client ID включен, чтобы мы могли узнать вас и прислать ключ.
Когда все будет сделано, введите ключ в бокс и наслаждайтесь днем и ночью.
У вас есть 48 часов для отправки email, если таймер обнулится, ваши файлы будут удалены.
Если вы перезагрузите ПК или отключите программу, вы никогда не сможете вернуть свои файлы, т.к. они будут повторно зашифрованы, если вы перезапустите программу.
В принципе, закрытие программы в любом случае приведет к потере ключа.
- Удачи, хорошего времени.
- Команда DeaDHackS!

Когда таймер обнулится, зашифрованные файлы будут удалены. 
Затем перед пользователем выводится сообщение:
Timer ran out! Your files are being deleted! Bye-Bye!

Перевод на русский язык:
Таймер закончил счет! Ваши файлы удаляются! Бай-бай!

Если нажать на кнопку "I GIVE UP", обведенную красным цветом, то зашифрованные файлы будут немедленно удалены, без вопросов. 

Сообщение после удаления зашифрованных файлов:
Your Files Are Now Deleted! Good job!

Другие тексты вымогателей:
Dear DeaDHackS Member
if you received this email it means you did another victim!
---
Dear DeaDHackS Member
if you received this email it means we are sending the newest logged infos!

После шифрования файлов отправляется email на адрес вымогателей.

После успешного ввода ключа также отправляется email, не дождавшись окончания дешифрования. 
Затем перед пользователем выводится сообщение:
Your Files Were Successfully Decrypted With Key: *****
Good Luck and Good Night!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Vapor Ransomwarev1.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
deadhacksteam@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Vapor v1)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 16 ноября 2018 г.

Defray 2018

Defray 2018 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: Defray (Glushkov) > Defray 2018

К зашифрованным файлам добавляется расширение: .***777


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На данный момент замечены пострадавшие только среди компаний. занимающихся производством  запчастей для легкового и грузового транспорта (MD Industry). 

Записка с требованием выкупа называется: !!!_Read_Me_How_To_DeCrypt_Files_!!!.tXt

Содержание записки о выкупе:
Hello, *****!
Don't panic, read this and contact someone from IT department.
Your computer has been infected with a virus known as ransomware.
All files including your personal, confidential or business documents, backups and projects are encrypted.
We have also downloaded all information about your clients including their personal data.
If you want to restore all your files, avoid harm to your reputation (which may lead you to bankrupt), save your Intellectual property and personal data of your clients, you need to make the payment.
Otherwise, all you files including your customer's information, will be posted on the Internet.
We can decrypt for you one of the files (about 50kb) for free, so you have no doubts in data security and possibility to restore the files any time. 
After the full payment, all data will be restored on all computers of your network.
We accept payments in Bitcoin.
Make sure to make payment as soon as possible to avoid any penalty.
Don't hesitate to contact us.
Our e-mail: *****@yandex.ru
In case we don't respond to an email within one day, download application called BitMessage and reach to us for the fastest response.
BitMessage identity: BM-2cXL8BPGoPKnTvoUVGDwFXmUoQmkVdzsGm
BitMessage homelink: https://bitmessage.org
#################################################
This is custom developed ransomware, decrypter won't be made by an antivirus company.
This one doesn't even have a name.
It uses AES-256 for encrypting files, RSA-4096 for storing encrypted AES-256 password.
It's written in C and have passed many quality assurance tests.
#################################################
IN ORDER TO PREVENT DATA DAMAGE:
- DO NOT MODIFY ENCRYPTED FILES
- DO NOT CHANGE DATA BELOW

Перевод записки на русский язык:
Привет, *****!
Не паникуйте, прочитайте это и свяжитесь с кем-то из отдела ИТ.
Ваш компьютер заражен вирусом, известным как ransomware.
Все файлы, включая личные, конфиденциальные или деловые документы, резервные копии и проекты, зашифрованы.
Мы также загрузили всю информацию о ваших клиентах, включая их личные данные.
Если вы хотите восстановить все свои файлы, избегайте вреда вашей репутации (что может привести к банкротству), сохраните свою интеллектуальную собственность и личные данные ваших клиентов, вам необходимо внести платеж.
В противном случае все ваши файлы, включая информацию вашего клиента, будут опубликованы в Интернете.
Мы можем расшифровать для вас один из файлов (около 50 кб) бесплатно, поэтому не сомневаетесь в защите данных и возможности восстановления файлов в любое время.
После полной оплаты все данные будут восстановлены на всех компьютерах вашей сети.
Мы принимаем платежи в биткоинах.
Обязательно сделайте платеж как можно скорее, чтобы избежать штрафа.
Не стесняйтесь обращаться к нам.
Наш e-mail: *****@yandex.ru
Если мы не ответим на электронное письмо в течение одного дня, загрузите приложение под названием BitMessage и получите от нас самый быстрый ответ.
Идентификатор BitMessage: BM-2cXL8BPGoPKnTvoUVGDwFXmUoQmkVdzsGm
BitMessage домашняя ссылка: https://bitmessage.org
#################################################
Это обычный разработанный ransomware, дешифратор не будет создан антивирусной компанией.
У этого нет даже имени.
Он использует AES-256 для шифрования файлов, RSA-4096 для хранения зашифрованного пароля AES-256.
Он написан на C и прошел множество проверок качества.
#################################################
ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ:
- НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
- НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Во все зашифрованные файлы вставляется маркер файлов:
12345678901234567890123456789012

Файлы, связанные с этим Ransomware:
!!!_Read_Me_How_To_DeCrypt_Files_!!!.tXt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: *****@yandex.ru
BM-2cXL8BPGoPKnTvoUVGDwFXmUoQmkVdzsGm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Defray)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 14 ноября 2018 г.

Seon

Seon Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SEON RAMSOMWARE. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .FIXT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Рання активность этого крипто-вымогателя была в октябре, потом он показался в начале ноября 2018 г. Ранний вариант был ориентирован на корейских пользователей. Вариант ноября ориентирован на англоязычных пользователей, что позволяет распространять его по всему миру.



Записка с требованием выкупа называется: YOUR_FILES_ARE_ENCRYPTED.txt
Seon Ransomware  note шифровальщик

Содержание записки о выкупе (ноябрь):
SEON RANSOMWARE
all your files has been encrypted
There is only way to get your files back: contact with us, pay and get decryptor software
We accept Bitcoin and other cryptocurrencies
You can decrypt 1 file for free
write email to kleomicro@gmail.com or kleomicro@dicksinhisan.us

Перевод записки на русский язык:
SEON RANSOMWARE
все ваши файлы зашифрованы
Есть только способ вернуть ваши файлы: контакт с нами, оплатите и получите программу для дешифрования
Мы принимаем Биткоин и другие криптовалюты
Вы можете бесплатно дешифровать 1 файл
пишите письмо на kleomicro@gmail.com или kleomicro@dicksinhisan.us



Технические детали

Для распространения используется набор эксплойтов GreenFlashSundown EK.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kleomicro@gmail.com
kleomicro@dicksinhisan.us
URL: magellan.bestdealsadvbiz.space
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topic of support)
 Anti-malware vigilante, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 13 ноября 2018 г.

Epoblockl

Epoblockl Ransomware 

Rectyk Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0 BTC, чтобы вернуть файлы. Оригинальное название: Epoblockl. На файле написано: Epoblockl.exe и Rectyk.

© Генеалогия: HiddenTear >> ScrabberEnybenyCryptSnowPicnicSymmyWareGrujaRSorium,  > Epoblockl

Родство подтверждено сервисом IntezerAnalyze >>

К зашифрованным файлам добавляются расширения: 
.Epoblockl или .Crypted

С чем связаны эти расхождения, неизвестно. Возможно, разные варианты или прихоть разработчика. Также было в GrujaRSorium Ransomware.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Статус, который я придал этому шифровальщику — шифровальщик-НЕ-вымогатель. Потому, что не указано никакого кошелька, куда платить выкуп и нет точной суммы выкупа — 0 BTC. Вероятно, что шифровальщик написан ради интереса, самореализации и саморекламы, и никак массово не распространяется. Также нет никакой информации о пострадавших. 

Записка с требованием выкупа называется: EPOBLOCKL-NOTE.txt
Epoblockl Ransomware note шифровальщик

Содержание записки о выкупе:
Your files have been encrypted with AES-128
tommy.sanders@tutanota.com, 0btc.
 Please pay immedantely

Перевод записки на русский язык:
Ваши файлы были зашифрованы с AES-128
tommy.sanders@tutanota.com, 0btc.
  Пожалуйста, оплатите немедленно

Другим информатором выступает диалоговое окно с тем же текстом.
Epoblockl Ransomware шифровальщик


Технические детали




Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Здесь видно, что одни и те же файлы шифруются с разными расширениями: .Crypted и .Epoblockl 
Epoblockl Ransomware files зашифрованные файлы
Этот нюанс заметил исследователь вредоносных программ CyberSecurity GrujaRS и продемонстрировал в своем видеообзоре.  

Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .cer, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (65 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Epoblockl.exe
Epoblockl.pdb
EPOBLOCKL-NOTE.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\delphi\Epoblokl\Epoblockl\Epoblockl\obj\x86\Debug\Epoblockl.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://fairybreathes.6te.net
xxxx://e.freewebhostingarea.com/403.html
xxxxs://may2016b3.freeoda.com/ 
xxxx://vklogin.freeoda.com/
xxxx://poopware.6te.net/ 
xxxxs://www.youtube.com/watch?v=cM03qkUgX4c
Email: tommy.sanders@tutanota.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware
Epoblockl (Rectyk) Ransomware
и другие



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Georg Nation, CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 12 ноября 2018 г.

010001

010001 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. Написан на Python. 

© Генеалогия: Noblisродство подтверждено IntezerAnalyze

К зашифрованным файлам добавляется расширение: .010001


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие обнаружились в Японии. 

Записка с требованием выкупа называется: tmpsfn_as.txt
010001 Ransomware note шифровальщик-вымогатель

Содержание записки о выкупе:
*************************************************************
ATTENTION!!!! Your personal files are encrypted!
*************************************************************
To recover the files, you must:
* Send 500$ to the wallet 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
* Send email to "jduy3jd87dhs@grr.la" indicating the reference "11111111111111110000000011110001" when you have paid.
* We will send a decryption program to recover your files.
* Make a backup of this file.
# HELPS #
- How do I buy digital currency with a credit or debit card in the US?
https://support.coinbase.com/customer/en/portal/articles/2343234-how-do-i-buy-bitcoin-with-a-debit-card-in-the-us-
- How do I send digital currency to another wallet?
https://support.coinbase.com/customer/en/portal/articles/971437-how-do-i-send-digital-currency-to-another-wallet-
- How to Buy Bitcoin on Coinbase, Step by Step
https://www.bitcoinmarketjournal.com/buy-bitcoin-on-coinbase/
- Google

Перевод записки на русский язык:
************************************************** ***********
ВНИМАНИЕ!!!! Ваши личные файлы зашифрованы!
************************************************** ***********
Чтобы восстановить файлы, вы должны:
* Отправить 500$ на кошелек 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
* Отправить email на адрес "jduy3jd87dhs@grr.la", указав ссылку "11111111111111110000000011110001", когда вы заплатили.
* Мы отправим программу дешифрования для восстановления ваших файлов.
* Сделайте резервную копию этого файла.
# HELPS #
- Как я могу купить цифровую валюту с кредитной или дебетовой карты в США?
https://support.coinbase.com/customer/en/portal/articles/2343234-how-do-i-buy-bitcoin-with-a-debit-card-in-the-us-
- Как отправить цифровую валюту на другой кошелек?
https://support.coinbase.com/customer/en/portal/articles/971437-how-do-i-send-digital-currency-to-another-wallet-
- Как купить биткоин на Coinbase, шаг за шагом
https://www.bitcoinmarketjournal.com/buy-bitcoin-on-coinbase/
- Google


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.dat, .ico, и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
tmpsfn_as.txt
<random>.exe - случайное название
Crypto.Cipher._AES.pyd
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\_MEI32562\
\AppData\Local\Temp\_MEI32562\Crypto.Cipher._AES.pyd
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://185.141.62.4/svchost.dll
IP: 185.141.62.4:80 (Болгария)
Email: jduy3jd87dhs@grr.la
BTC: 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as 010001)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Jakub Kroustek
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton