суббота, 22 сентября 2018 г.

Giyotin

Giyotin Ransomware 

Guillotine Ransomware

(фейк-шифровальщик)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $60 в BTC, чтобы вернуть файлы. Оригинальное название: Giyotin Fidye (по-рус.: Гильотина выкуп, по-англ.: Guillotine Ransomware) и MyRansom. На файле написано: MyRansom.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Примерно такое изображение используется в требованиях о выкупе

К незашифрованным файлам никакое расширение не добавляется. Вероятно находится в разработке. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки или изображение, заменяющее обои на Рабочем столе:

Содержание текста о выкупе:
OOPS, GİYOTİN FİDYE YAZILIMININ KURBANI OLDUNUZ
---
Bilgisayarınız ve Tüm Önemli Dosyalarınız Şifrelendi. Dosyalarınızı Geri Alıp Bilgisayarınıza Tamamen Erişim Sağlayabilmek İçin Aşağıdaki Adımları Takip Edin
1-İnternet Üzerinden Herhangi Bir Website veya Server Yardımıyla Bİr Bitcoin Hesabı ve Cüzdanı Oluşturun
2-Bİtcoin Hesabınız Üzerinden Aşağıda Belirtilen Adreslerden Herhangi Birine 60$(Dolar) Değerinde Bitcoin Gönderin
3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
3-Ödeme İşleminden Sonra anony46NcRyptr708onion@protonmail.ch adresine "HACKED" Metni İçeren Bir Mesaj Bırakın
ANCAK FAZLA ZAMANINIZ YOK 12 SAAT İÇERİSİNDE BU İŞLEMLERİ YAPMADIĞINIZ TAKDİRDE BİLGİSAYARINIZ KALICI OLARAK ÇÖKECEKTİR !!!!

Перевод текста на русский язык:
УПС, ВЫ СТАЛИ ЖЕРТВОЙ ПРОГРАММЫ GIOTINE RANSOMWARE
---
Ваш компьютер и все важные файлы зашифрованы. Выполните следующие действия, чтобы вернуть свои файлы и получить полный доступ к вашему компьютеру.
1 - Создайте учетную запись и биткоин-кошелек с помощью любой веб-справки в Интернете
2 - Отправьте биткоины на сумму 60 долларов на любой из перечисленных ниже адресов
3bszcdjblvlks7r5t2cfcefsuj3cqxa82
3juu6ukwcyvgjhqxznwpc8h3oe87dssedn
3-После оплаты, отправьте письмо с темой "HACKED" на anony46NcRyptr708onion@protonmail.ch
НО ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ ЗА 12 ЧАСОВ, ЕСЛИ ВЫ НЕ СДЕЛАЕТЕ ЭТИ ДЕЙСТВИЯ, ВАШ ПК ОСТАНЕТСЯ НАВСЕГДА ЗАШИФРОВАН !!!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ По данным исследователей, этот вымогатель только показывает требования о выкупе и больше ничего не делает.

Список файловых расширений, подвергающихся шифрованию:
Пока файлы не шифруются. 
После доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MyRansom.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: anony46NcRyptr708onion@protonmail.ch
BTC: 3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 17 сентября 2018 г.

IT.Books

IT.Books Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IT.Books. На файле написано:  IT.Books, IT.Books.exe, IT-eBooks, Free Download IT eBooks.

© Генеалогия: HiddenTear + Jigsaw GUI >> IT.Books

К зашифрованным файлам добавляется расширение: .fucked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ__IT.txt

Содержание записки: 
Files has been encrypted with strong KEY
Send payment to our bitcoin address
you can visit google or localbitcoin to buy bitcoin.
BTC Address: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
After payment click contact us you will recieve Decryption KEY in less than 1 hour.

Перевод на русский язык: 
Файлы были зашифрованы с сильным ключом
Отправьте платеж на наш биткоин-адрес
вы можете посетить google или localbitcoin, чтобы купить биткоин.
BTC Адрес: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
После оплаты нажмите на ссылку, вы получите ключ расшифровки менее чем за 1 час.

Запиской с требованием выкупа также выступает экран блокировки, стиль которого заимствован у Jigsaw Ransomware

Содержание текста с экрана о выкупе:
I want to play a game with you. Let me explain the rules:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
***

Перевод текста на русский язык:
Я хочу сыграть с тобой. Позволь объяснить правила:
Твои личные файлы удаляются. Твои фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если ты не согласишься.
Я уже зашифровал твои личные файлы, ты не получишь к ним доступ.
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используется следующая иконка для исполняемого файла вымогателя:


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ__IT.txt
IT.Books.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 15 сентября 2018 г.

Viro Botnet

ViroBotnet Ransomware

"Viro Botnet" + Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот модульный вредонос включает в себя крипто-вымогатель, который шифрует данные пользователей с помощью RSA, а затем требует выкуп в 500€ в BTC, чтобы вернуть файлы. Оригинальное название вредоноса: Viro Botnet. Название exe-файла шифровальщика: Office Updater. На этом файле написано: Office Updater.exe и Office updater background task.
Прочтите также "Примечание №1" после статьи. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt
ViroBotnet Ransomware

Содержание записки о выкупе:
Vos fichiers personnels ont été chiffrés. Lisez les instructions du logiciel.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы. Прочтите инструкции по программе.

Запиской с требованием выкупа также выступает экран блокировки:
ViroBotnet Ransomware

Содержание текста о выкупе:
Vos fichiers personnels ont été chiffré.
Pour les déchiffrer, envoyez 500€ de bitcoins à cette adresse :
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Toute tentative de destruction de ce logiciel entraînera la destruction de la clé de déchiffrement.
Toute tentative de déchiffrement avec une clé erronée entraînera la perte définitive de vos fichiers.
Vous avez 72 heures pour effectuer le paiement. Après quoi, la clé de déchiffrement sera supprimée.
Clé de déchiffrement : [...]
[Déchiffrer mes fichiers]

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы.
Для их дешифровки пришли биткоины на 500€ на этот адрес:
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Любая попытка уничтожить эту программу уничтожит ключ дешифрования.
Любая попытка дешифровки с неправильным ключом повредит ваши файлы.
У вас есть 72 часа для оплаты. После этого ключ дешифрования будет удален.
Ключ дешифрования: [...]
Расшифровать мои файлы



Технические детали

Если это является частью модульного вредоносного ПО и включает модуль Office Updater.exe, то видимо планируется распространять это через перепакованные и портативные дистрибутивы новых версий MS Office, распространяемых потому бесплатно. Заранее важно знать, чем грозит загрузка и использование таких незаконно-бесплатных программ. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует Microsoft Outlook для отправки спам-писем каждому пользователю из списка контактов. При этом вредонос отправит копию самого себя или вредоносный файл, загруженный с его C&C-сервера.
ViroBotnet Ransomware

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .mdb, .odt, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sin, .swp, .txt, .xls, .xlsx, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
README.txt
Office Updater.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




Примечание №1
  Главное предназначение вредоноса под названием "Viro Botnet", это организация ботнета, т.е. создание сети заражённых вредоносным ПО компьютеров (ботов), через которую киберпреступники могут удалённо управлять заражёнными машинами, используя их для рассылки спама, анонимного доступа, кражи информации и кибершпионажа; иначе: зомби-сеть. Модуль, отвечающий за шифрование, призван по команде или автоматически причинять ещё больший ущерб. К сожалению, более подробную информацию мы не получили. 
  Но ведь пострадавшему пользователю ПК, находящемуся в истерике или на грани нервного срыва, неважно, как вымогатель устроен внутри (в целом, модульно, построчно и пр.). Его атаковали — теперь он должен понять, кто атаковал, найти информацию (пусть даже небольшую), если у него есть интернет-доступ и оценить ущерб, чтобы принять решение, что ему делать дальше. 
  Если пострадавший не найдёт эту информацию, он может пострадать ещё больше (заплатить выкуп и не вернуть данные, биться в истерике по поводу потери важной информации, потерять работу и пр. пр.). 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 14 сентября 2018 г.

Rektware

Rektware Ransomware

PRZT Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: rektware. На файле написано: нет данных. Возможно, находится в разработке. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Rektware PRZT Ransomware
Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется случайное расширение, например:  
.CQScSFy
.2PWo3ja

Вместе с переименованием файлы получают номера. 
Rektware PRZT Ransomware

Так выглядят зашифрованные файлы


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл FIXPRZT.PRZ
Rektware Ransomware note
Содержание записки о выкупе:
ContactID: MG9r9awS9V Send E-mail: rektware@inbox.ru
(FreeDecryptAllYourFiles)

Перевод записки на русский язык:
ContactID: MG9r9awS9V отправь на E-mail: rektware@inbox.ru
(Бесплатное дешифрование всех твоих файлов)




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FIXPRZT.PRZ
PRZT1.PRZ
PRZT2.PRZ
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rektware@inbox.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Rektware)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 8 сентября 2018 г.

LIGMA

LIGMA Ransomware

(тест-шифровальщик, деструктор)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим СВС), а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: LIGMA. На файле написано: LIGMA.exe. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ForgiveME


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа-начале сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. Появляется после повреждения MBR и перезагрузки. 
LIGMA Ransomware
Текст из кода

На самом деле на экране появляется ярко-зелёный текст на чёрном фоне.
LIGMA Ransomware
Скриншот-реконструкция

Содержание текста:
YOUR PC LIGMA BALLS xD
This PC is dead because you did n't follow the rules.
Your PC will never work again.
NOTE: Even if you fix the MBR your Your PC Is Dead.
Entire Registry is Fucked and your files are infected.

Перевод на русский язык:
ТВОЙ ПК LIGMA BALLS xD
Этот компьютер мертв, т.к. ты не соблюдал правила.
Твой ПК больше никогда не будет работать.
ПРИМЕЧАНИЕ. Даже если ты исправишь MBR, твой ПК мертв.
Весь реестр трахнут и твои файлы заражены.

Другое сообщение:
Your Computer Got FUCKED By LIGMA!



Технические детали

Нет данных о пострадавших, потому, вероятно, не распространяется как обычный ransomware. Исходных код выложен на Github. Предназначен для Windows 7 x86. Требуется наличие в системе .NET Framework 4.7.1 (прилагается разработчиком). Разработчик предупреждает желающих протестировать шифровальщик о последствиях. Дешифровщик не прилагается.  

Если кто-то захочет модифицировать LIGMA для своих целей, то может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Производит следующие действия: 
➤ Модифицирует системную конфигурацию, скрывает пункты меню, элементы Панели управления и т.д.
➤ Проигрывает системные звуки, передвигает курсор как попало
 Отключает UAC, редактор реестра, ключевые системные инструменты.
➤ Дроппирует файл Payloads.dll в C:\WinWOW32\
 Перед BSoD шифрует файлы с AES-256 в режиме СВС.
➤ Создаёт файл work.bat и запускает процесс в скрытом окне.
➤ Принудительно вызывает BSoD. Записывает 512 байт в MBR и портит таблицу разделов. 
➤ Сообщает, что ПК безнадёжно испорчен. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1st, .3dm, .3mf, .600, .602, .7z, .7zip, .a, .aaf, .abw, .accdb, .acl, .aep, .aepx, .aet, .ahk, .ai, .aps, .as, .asc, .asp, .aspx, .assets, .asx, .avi, .bas, .bep, .bmp, .c, .cbf, .cbfx, .cer, .cfa, .class, .config, .contact, .cpp, .cs, .css, .csv, .dat, .db, .dbf,  .deb, .dic, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dvi, .dwg,  .dxf, .ebf, .ebfx, .ebuild, .efx, .eps, .ev3, .ev3, .exp, .fits, .fla, .flv, .fnt, .gif, .go, .gz, .gz, .h, .hmg, .htm, .html, .ico, .idml, .ilk, .inc, .indb, .indd, .indl, .indt, .inx, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .ldr, .lic, .loc, .lock, .log, .lxf, .m3u8, .m4a, .max, .mcfunction,  .mcmeta, .md2, .md3, .md4, .md5, .mdb,  .mkv, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .nc, .ncb, .nut, .obj, .object, .odf, .odp, .odt, .ogg, .otf, .pdb, .pdf, .pek, .pez, .php, .php?, .piv, .pkf, .pl, .plb, .plg, .pm, .pmd, .png, .pot, .potm, .potx, .pov, .ppj, .pps, .ppt, .pptm, .pptx, .prefs, .prel, .prfpset, .prproj, .prsl, .ps, .ps, .ps, .psc, .psd, .psm1, .py, .python, .rar, .raw, .rb, .rbt, .rc, .res, .resource, .resx, .rex, .rtf, .ru, .rxe, .s3, .sdf, .sdl, .ses, .silo, .sln, .sql,  .sti, .svg, .swf, .swift, .tab, .tar.gz, .tdf , .tif, .tiff, .tpk, .txt, .udo, .umod, .vb, .vcf, .vob, .w3d, .war, .webp, .wmv, .wpd, .wps, .wtv, .wve, .x, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmp, .xpl, .xps, .xqx, .xsl-fo, .z, .zip (225 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LIGMA.exe
Payloads.dll
work.bat
mbr.bin
<random>.exe - случайное название

Расположения:
C:\WinWOW32\Payloads.dll
C:\WinWOW32\work.bat
C:\WinWOW32\mbr.bin
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Файлы проектов:
Payloads.pdb
LIGMA.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Таблицу разделов также можно восстановить. 
*
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov,  Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton