суббота, 13 октября 2018 г.

Minotaur

Minotaur Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.125 BTC, чтобы вернуть файлы. Оригинальное название: Minotaur. На файле написано: Minotaur.exe.

© Генеалогия: родство определено >>


Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .Lock


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How To Decrypt Files.txt
Содержание записки о выкупе:
----------------------------------------------------------------------------------------
(KEY) : J3oLtCrE14ELmziDhz1lPgRMxBvcPiW01t4eI63Ffk8kqMaL7SSRrI***
(EMAIL) : minotaur0428blaze.it
----------------------------------------------------------------------------------------
ALL YOUR FILES ARE ENCRYPTED BY (MINOTAUR) RANSOMWARE!
----------------------------------------------------------------------------------------
FOR DECRYPT YOUR FILES NEED TO PAY US A (0.125 BTC)!
----------------------------------------------------------------------------------------
FILES ARE ENCRYPTED BY (MINOTAUR) RANSOMWARE!
----------------------------------------------------------------------------------------

Перевод записки на русский язык:
----------------------------------------------------------------------------------------
(KEY) : J3oLtCrE14ELmziDhz1lPgRMxBvcPiW01t4eI63Ffk8kqMaL7SSRrI***
(EMAIL) : minotaur0428blaze.it
----------------------------------------------------------------------------------------
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ (MINOTAUR) RANSOMWARE!
-------------------------------------------------- --------------------------------------
ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ НАДО ЗАПЛАТИТЬ НАМ (0,125 BTC)!
-------------------------------------------------- --------------------------------------
ФАЙЛЫ ЗАШИФРОВАНЫ (MINOTAUR) RANSOMWARE!
----------------------------------------------------------------------------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Есть информация о том, что шифруются только файлы на флеш-дисках, но это может лишь один из векторов атаки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Minotaur.exe
How To Decrypt Files.txt
<random>.exe - случайное название
Minotaur.pdb - название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: 420blaze.it
Email: minotaur@420blaze.it
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Minotaur)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Michael Gillespie, Brad, CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 8 октября 2018 г.

DecryptFox

DecryptFox Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: явно не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .encr
Названия файлов переименовываются в цифровой ряд.
Пример зашифрованного файла: 
00-S1-31-AO-10-E7-4E-16-9A-16-16-8D-1D-E1-1D-CF-3D-FC-E7-CA-9B-15-25-90-72-11-35-0E-A6-38-7A-03-DF-51-C8-84-19-51-58-AC-1D-36-CC-83-A9-91-35-C3.encr


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readmy.txt

Содержание записки о выкупе:
Attention! All your files are encrypted!
To recover your files and access them,
send a message with your id to email DecryptFox@protonmail.com
Please note when installing or running antivirus will be deleted
 important file to decrypt your files and data will be lost forever!!!!
You have 5 attempts to enter the code. If you exceed this
the number, all the data, will be irreversibly corrupted. Be
careful when entering the code!
your id xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы!
Чтобы восстановить файлы и получить к ним доступ, отправьте сообщение с вашим ID на email DecryptFox@protonmail.com
Обратите внимание, что при установке или запуске антивируса будет удален важный файл для расшифровки ваших файлов, и данные будут потеряны навсегда !!!!
У вас есть 5 попыток ввода кода. Если вы превысите это число, все данные будут необратимо повреждены. Будьте осторожны при вводе кода!
ваш ID xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readmy.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 6 октября 2018 г.

Godsomware

Godsomware v1.0 Ransomware 

God Crypt v1.0 Ransomware 

(фейк-шифровальщик)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Godsomware v1.0 и God Crypt v1.0. На файле написано: Godsomware.exe и Ransomware God Crypt v1.0 by NinjaGhost. Разработчик: NinjaGhost.

© Генеалогия: HiddenTear >> Godsomware v1.0 (God Crypt v1.0)

К незашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки И изображение, заменяющее обои:



Содержание текста о выкупе:
Ooops, your files have been encrypted!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible beacuse they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don't oay in 7 days,you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay? I
Payment is accepted in Bitcoin only. Fore more information, Click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
***

Перевод текста на русский язык:
***

Содержание текста на обоях:
Ooops, your important files are encrypted..
If you see this text, but don't see the "Wana Decrypt0r" window, then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named "@WanaDecryptor@.exe" in any folder or restore from the antivirus quarantine.
Run and follow the instructions!

Перевод текст на обоях на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Отключает системные инструменты в реестре: 
DisableTaskMgr
DisableCMD
DisableRegedit

➤ Устанавливает свой сценарий запуска системы и перезагружает её.

➤ Отслеживает движение мышки и клики. 

➤ Код разблокировки: 29b579fb811f05c3c334a2bd2646a27a

➤ Чтобы запугать жертву имитирует экран блокировки и обои от WannaCry, предлагая найти файл @WanaDecryptor@.exe

Список файловых расширений, подвергающихся шифрованию:
В данной версии файлы не шифруются. 
После доработки это вполне могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Godsomware.exe
Godsomware.exe.config
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\Godsomware.exe
\Desktop\Godsomware.exe.config

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Godsomware v1.0
HKEY_LOCAL_MACHINE\Software\NinjaGhost\Godsomware v1.0\1.0.0.0
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 5 октября 2018 г.

GarrantyDecrypt

GarrantyDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: что попало.

© Генеалогия: Rapid? >> выясняется.

К зашифрованным файлам добавляется расширение: .garrantydecrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #RECOVERY_FILES#.txt

Содержание записки о выкупе:
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - garrantydecrypt@airmail.cc
and tell us your unique ID
1e4vDCmU44pC5lkk4DcnhJsEEhg+Djipct***

Перевод записки на русский язык:
Все ваши файлы были ЗАШИФРОВАНЫ
Вы действительно хотите восстановить свои файлы?
Напишите на наш email - garrantydecrypt@airmail.cc
и сообщите нам свой уникальный ID



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов с помощью команды:
delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#RECOVERY_FILES#.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: garrantydecrypt@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as GarrantyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 3 октября 2018 г.

HacknutCrypt

HacknutCrypt Ransomware 

Qweuirtksd Ransomware 

(шифровальщик-вымогатель с хакерским проникновением)

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES-128 (режим CBC), а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Для того, чтобы запустить шифрование на скомпрометированном ПК или сервере, сначала используется хакерское проникновение. 

© Генеалогия: предыдущие однотипные вымогательства >> HacknutCrypt
Изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .qweuirtksd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!ReadMeToDecrypt.txt

Содержание записки о выкупе:
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to cyrill.fedor0v@yandex.com, a maximum of 5 megabytes each, I will decrypt them and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u from this file.
After that, pay the decryption in the amount of 500$ to the bitcoin address: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
After payment, send me a letter to cyrill.fedor0v@yandex.com with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at cyrill.fedor0v@yandex.com
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Перевод записки на русский язык:
Внимание, все ваши файлы зашифрованы с алгоритмом AES cbc-128!
Это не вирус, как WannaCry и другие, я взломал ваш компьютер,
Ключ шифрования и биткоин-кошелек уникальны для вашего компьютера,
поэтому вы сможете вернуть свои файлы.
Но до оплаты вы можете убедиться, что я реально могу расшифровать любые ваши файлы.
Для этого отправьте мне несколько зашифрованных файлов на cyrill.fedor0v@yandex.com, максимум 5 мегабайт каждый, я их расшифрую и я пошлю вам обратно. Не более 5 файлов. Не забудьте отправить биткоин-адрес 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u из этого файла.
После этого заплатите за дешифрование 500$ на биткоина-адрес: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
После оплаты отправьте мне письмо на cyrill.fedor0v@yandex.com с уведомлением о платеже.
Как только платеж будет подтвержден, я пришлю вам программу дешифрования.
Вы можете оплачивать биткоины онлайн разными способами:
https://buy.blockexplorer.com/ - оплата банковской картой
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
О Биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Если у вас есть какие-то вопросы, напишите мне на cyrill.fedor0v@yandex.com
В качестве бонуса я расскажу вам, как взломали ваш компьютер и как его защитить в будущем.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!ReadMeToDecrypt.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cyrill.fedor0v@yandex.com
BTC: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 октября 2018:
Расширение: .qweuirtksd
Email:  kathi.bell.1997@outlook.com
BTC: 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48
➤ Содержание записки о выкупе: 
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to kathi.bell.1997@outlook.com, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48 from this file.
After that, pay the decryption in the amount of 500$ to the bitcoin address: 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48
After payment, send me a letter to kathi.bell.1997@outlook.com with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at kathi.bell.1997@outlook.com
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Обновление от 9 октября 2018:
Расширение: .qweuirtksd
Email: ann4.orlova.89@yandex.com
antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru
BTC: 17extZWTopkmpkhAv1bhbmFxgGFcvbient
➤ Содержание записки о выкупе:
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 
17extZWTopkmpkhAv1bhbmFxgGFcvbient from this file.
Do not complain about these email addresses, because other people will not be able to decrypt their files!
After that, pay the decryption in the amount of 500$ to the bitcoin address: 17extZWTopkmpkhAv1bhbmFxgGFcvbient
After payment, send me a letter to ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Qweuirtksd)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 (victims in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton