Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware

(семейство шифровальщиков-вымогателей, все итерации, RaaS)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) или DES + RSA, а затем требует выкуп, чтобы вернуть файлы. При запуске троянец генерирует 256-битный ключ дешифрования AES, который вместе со случайными байтами шифруется алгоритмом RSA-1024 и сохраняется в конце зашифрованного файла, при этом открытый ключ злоумышленника содержится в теле троянца. Crysis / Dharma написан на C / C ++ и скомпилирован в MS Visual Studio. Название оригинальное, использует ранее известное индийское слово и понятие "Dharma". За распространением Dharma Ransomware стоят кибер-группировки из Украины, которые могут действовать и из других стран.

Пострадавшие, решившие заплатить выкуп, очень часто жалуются на жадность вымогателей, стоящих за Dharma, которые после оплаты требуют еще денег. НЕЛЬЗЯ верить вымогателям и надеяться на их честность!

Это изображение Дхарма только логотип статьи и не принадлежит шифровальщику

---
Обнаружения:
DrWeb -> Trojan.Encoder.3953, Trojan.Encoder.10317, Trojan.Encoder.30407
BitDefender -> Trojan.Ransom.Crysis.E, Gen:Variant.Ransom.Crysis.6 Trojan.GenericKD.32842449
ALYac -> Trojan.Ransom.Crysis
ESET-NOD32 -> A Variant Of Win32/Filecoder.Crysis.*
Kaspersky -> Trojan-Ransom.Win32.Crusis.*
Malwarebytes -> Ransom.Crysis.Generic, Ransom.Crysis
Microsoft -> Ransom:Win32/Wadhrama.C
Rising -> Trojan.Ransom.Crysis!1.* (CLOUD)
Tencent -> Trojan-Ransom.Win32.Crysis.a
---

© Генеалогия: CrySiS > Dharma > AI SARA

Оригинальный файл проекта для всех вариантов:
C:\crysis\Release\PDB\payload.pdb

К зашифрованным файлам добавляется расширение .dharma
Фактически используется составное расширение по шаблону:
.[<email>].dharma
.id-XXXXXXXX.[<email>].dharma

Оригинальное имя файла не изменяется.
Также используется маркер файлов от Crysis.

Примеры:
original_filename.[bitcoin143@india.com].dharma
original_filename.[worm01@india.com].dharma
original_filename.[pay4help@india.com].dharma

Известные на данный момент расширения по шаблону .[email_for_ransom].dharma
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
README.txt - текстовая записка
README.jpg - скринлок на обои рабочего стола

Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент твоя система не защищена.
Мы можем это исправить и восстановить файлы.
Для восстановления системы напиши на этот адрес:
bitcoin143@india.com

Файлы, зашифрованные Dharma, содержат специальный маркер файлов.
Например, у варианта с расширением .[worm01@india.com].dharma - это маркер WORM06. У другим может быть другой.

Пример маркера WORM06

Технические детали

Используется набор инструментов под название "Toolbelt", который сценарий PowerShell позволяет аффилированному партнеру подключать и использовать различные инструменты, которые нужны ему для кражи паролей, распространения на другие машины в сети и для развертывания программ-вымогателей. Подробнее >>

Основной способ атаки-распространения Crysis / Dharma — неавторизованный доступ через незащищенную конфигурацию RDP. Злоумышленники взламывают учетные данные (с помощью атаки по словарю, грубой силы или готовых списков, купленных у других киберпреступников), удаленно подключается к компьютеру жертвы и запускает троян вручную. Как дополнительные меры также могут использоваться email-спам и вредоносные вложения, эксплойты, фальшивые обновления и компоненты легитимных программ, в том числе якобы от Microsoft, Adobe и пр., перепакованные и заражённые инсталляторы, чёрный SEO и прочие методы. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Могут использоваться хакерские и легитимные инструменты для проникновения и внесения изменений на компьютере. Наиболее часто пострадавшие сообщали о появлении программы Process Hacker 2, которой раньше не было.

➤ В автозагрузку системы добавляется копия исполняемого файла и Info.hta файл записки. Примеры:

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\***.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

➤ После шифрования теневые копии файлов удаляются командой:
vssadmin.exe vssadmin delete shadows /all /quiet

➤ Каждый файл зашифрован с использованием ключа AES и вновь сгенерированного 128-битного вектора инициализации (IV). Кроме зашифрованного содержимого, зашифрованный файл хранит IV, зашифрованный RSA ключ AES и вспомогательную информацию, включая метку злоумышленника (строковое значение), хэш SHA1 используемого открытого ключа RSA, исходное имя файла, шифрование. тип (часть файла для шифрования выбирается по-разному для маленьких и больших файлов) и контрольная сумма.

Список файловых расширений, подвергающихся шифрованию:

.acrodata, .au3, .bak, .bat, .bin, .bmp, .chm, .dat, .db, .def, .dic, .dll, .doc, .docx, .dot, .dotm, .dotx, .dtd, .e2x, .exe, .flt, .gif, .h, .hpp, .htm, .html, .htt, .hxh, .hxl, .hxn, .hxw, .ico, .idl, .ini, .ion, .jpg, .js, .json, .jsx, .lck, .lib, .lic, .lnk, .log, .mk, .msp, .pl, .pm, .png, .pod, .ppt, .pptx, .py, .pyc, .rar, .rdf, .rtf, .sam, .scf, .sfx, .sig, .sqlite, .sst, .tcc, .tmp, .txt, .wav, .wb2, .wma, .wmdb, .wpd, .wpg, .wpl, .xa, .xbn, .xls, .xlsx, .xml, .xss, .zip … (80 расширений) и другие.

Документы, базы данных, PDF, фотографии, музыка, видео, архивы, общие сетевые папки и пр. Шифруются также файлы без расширений.

Файлы, связанные с Dharma Ransomware:
filename.exe, <random_name>.exe - специальное или случайное имя файла
Skanda.exe - вариант имени exe-файла вымогателя
worm.exe - вариант имени exe-файла вымогателя
adobe.exe - вариант имени exe-файла вымогателя
payload.exe - вариант имени exe-файла вымогателя
processhacker-2.**-setup.exe - легитимная хакерская программа
README.txt - ранний вариант записки о выкупе
FILES ENCRYPTED.txt - последующий вариант записки о выкупе
Info.hta - специальная записка о выкупе в формате веб-приложения*

*| Для запуска HTA предназначена программа mshta.exe, которая использует недокументированную функцию RunHTMLApplication из библиотеки mshtml.dll. По умолчанию в системных настройках mshta.exe сопоставлена расширению .hta, потому для того, чтобы файл с HTML-документом открылся как HTA, его нужно сохранить с этим расширением.

Расположения:
%UserProfile%\AppData\Roaming\<random_name>.exe
C:\DOCUME~1\User\LOCALS~1\Temp\worm.exe
C:\WINDOWS\System32\worm.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\worm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name>.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Ripoff.Acm
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qiblas.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp\System.dll

Записи реестра, связанные с Dharma Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"" = mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "C:\Windows\System32\Info.hta"" = "mshta.exe "C:\Windows\System32\Info.hta""
См. также ниже результаты анализов.

Список email, известных у Dharma Ransomware с расширением .wallet:
3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek@india.com
dderek416@gmail.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com - маркер файлов: 101KPR
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com - маркер файлов: 127AMA
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
space_rangers@aol.com
spacelocker@post.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
war_lost@aol.com
warlokold@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

Существует множество разнообразных вариантов Dharma, которые различаются лишь email-адресами или расширениями. Некоторые из них повторяются много раз. Физически невозможно собрать их все, потому мы (я и мои добровольные помощники) собрали столько, сколько вы здесь можете увидеть.

=== АРЕСТЫ === ARRESTS ===

Октябрь 2021 года:

Ссылка на статью >>

Ноябрь 2023:

Ссылка на статью >>

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление из видео-обзора от GrujaRS

Скринлок, встающий обоями рабочего стола обзавелся индийским стилем. Первая фраза в особенности.
Содержание текста с обоев:
hello my friend
ALL YOUR DATA IS ENCRYPTED
to get your data back and
protect your system, write:
worm01@india.com

Обновление от 20 ноября 2016:
Email: drugvokrug727@india.com
Записка: How to decrypt your files.txt
Дублирует требования выкупа изображение, заменяющее обои Рабочего стола.

Обновление от 28 ноября 2016:
Email: worm01@india.com
Расширение: .dharma
Составное расширение: .[worm01@india.com].dharma
Записка: HOW TO DECRYPT YOUR DATA.txt
Содержание записки:
to decrypt the data write on mail worm01@india.com
Результаты анализов: HA+VT

Обновление от 28 ноября 2016:
Расширение: .dharma
Составное расширение: .[tombit@india.com].dharma
Email: tombit@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:

Сообщение >>
Новое расширение: .wallet
Составное расширение: .[lavandos@dr.com].wallet
Email: lavandos@dr.com, lavandos@india.com
Результаты анализов: VT, VT
<< Изображение на обои
*

Обновление от 29 ноября 2016:
Новое расширение: .wallet
Составное расширение: .[amagnus@india.com].wallet
Email: amagnus@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:
Сообщение >>
Новое расширение: .zzzzz
Составное расширение: .[amagnus@india.com].zzzzz

Обновление от 5 декабря 2016:
Новое расширение: .xtbl
Составное расширение: .[mkgoro@india.com].xtbl

Обновление от 13 декабря 2016:
Расширение: .wallet
Email: stopper@india.com
Результаты анализов: VT

Обновление от 18 декабря 2016:
Расширение: .wallet
Email: support_files@india.com
Результаты анализов: VT

Обновление от 26 декабря 2016:
Расширение: .wallet
Email: mksubzero@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .wallet
Составное расширение: .[Mkliukang@india.com].wallet
Email: Mkliukang@india.com

Обновление от 29 декабря 2016:
Сообщение >>
Расширение: .wallet
Расширение: .xtbl
Составное расширение: .[Mkgoro@india.com].xtbl
Составное расширение: .[Mkgoro@india.com].wallet
Записка: Info.hta
Email: mkgoro@india.com

=== 2017 ===

Обновление от 12 января 2017:
Расширение: .wallet
Составное расширение: .[supermagnet@india.com].wallet
Email: supermagnet@india.com

Обновление от 13 января 2017:
Расширение: .wallet
Составное расширение: .[webmafia@asia.com].wallet
Email: webmafia@asia.com
Результаты анализов: VT

Обновления февраля 2017:
Расширение: .wallet
Составное расширение: .[legionfromheaven@india.com].wallet
Email: legionfromheaven@india.com
---
Расширение: .wallet
Составное расширение: .[mission_inposible@aol.com].wallet
Email: mission_inposible@aol.com
---
Расширения: .viper1 и .viper2
Составные расширения: .[wisperado@india.com].viper1 и .[wisperado@india.com].viper2
Email: wisperado@india.com

Обновления от 9 марта 2017:
Email: mk.goro@aol.com
Расширение: .wallet
Составное расширение: .id-XXXXXXXX.[mk.goro@aol.com].wallet
Email: mk.goro@aol.com

Обновления от 24 марта 2017:
Описание этого варианта в статье DrWeb >>
Расширение: .wallet
Составное расширение: .id-XXXXXXXX.[moneymaker2@india.com].wallet
Email: moneymaker2@india.com

Обновления от 27 марта 2017:
Расширение: .wallet
Составное расширение: .[crannbest@foxmail.com].wallet
Email: crannbest@foxmail.com

Обновление от 7 апреля 2017:
Расширение: .wallet
Составное расширение: .[mk.kitana@aol.com].wallet
Email: mk.kitana@aol.com
Пример файла: Audit letter - XXXXX.doc.id.-XXXXX.[mk.kitana@aol.net]

Обновление от 14 апреля 2017:
Сообщение >>
Идентификация в ID Ransomware: Dharma (.onion)
Расширение: .onion
Шаблон: config.sys.id-66813FE4.[felix_dies@aol.com].onion

Обновление от 15 апреля 2017:

Сообщение >>

Расширение: .onion
Файл: volantem_diem@aol.com.exe

Записка: grand car back data.txt

Инструкция: HTA payment instructions

Email: volantem_diem@aol.com

Пример расширения: .id-12345678.[volantem_diem©aol.com].onion

Примеры зашифрованных файлов:

file.bmp.id-12345678.[volantem_diem©aol.com].onion

file.doc.id-12345678.[volantem_diem@aol.com].onion

file.jpg.id-12345678.[volantem_diem©aol.com].onion

file.mp3.id-12345678.[volantem_diem@aol.com].onion

file.pdf.id-12345678.[volantem_diem@aol.com].onion

file.png.id-12345678.[volantem_diem@aol.com].onion

file.txt.id-12345678.[volantem_diem©aol.com].onion

Результаты анализов: VT

Обновление от 18 апреля 2017:
Сообщение >>
Расширение: .onion
Составное расширение: .id-<id>.[Gladius_Adeptus@aol.com].onion
Email: Gladius_Adeptus@aol.com, Gladius_Adeptus@zoho.eu
Результаты анализов: VT

Обновление от 22 апреля 2017:
Расширение: .wallet
Составное расширение: .id-<id>.[mk.sektor@aol.com].wallet
Email: mk.sektor@aol.com
Результаты анализов: VT

Обновление от 4 мая 2017:

Файлы: mandanos.exe и Info.hta
Расположения:
"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
%WINDIR%\System32\mandanos.exe
C:\crysis\Release\PDB\payload.pdb
Email: mandanos@foxmail.com
Расширение: .wallet
Составное расширение: .[mandanos@foxmail.com].wallet
Примеры зашифрованных файлов:
<file_name>.id-C3B22A85.[mandanos@foxmail.com].wallet
6DF4C247EB188DBE3AA7FEFB8B83F5C21339C17F.id-C3B22A85.[mandanos@foxmail.com].wallet
Удаление теневых копий файлов:
vssadmin delete shadows /all /quiet
Результаты анализов: HA+VT

Обновление от 11 мая 2017:
Сообщение >>
Расширение: .wallet
Составное расширение: .[cryptoblazer@asia.com].wallet
Email: cryptoblazer@asia.com

Обновление от 11 мая 2017:
Расширение: .onion
Составное расширение: .id-5FF23AFB.[Asmodeum_daemonium@aol.com].onion
Email: Asmodeum_daemonium@aol.com

Обновление от 14 августа 2017:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение на конце заш-файлов: .cezar
Составное расширение: .[sindragosa@bigmir.net].cesar

Обновление от 17 августа 2017:
Расширение на конце заш-файлов: .cezar
Составное расширение: .[black.mirror@qq.com].cesar

Обновление от 18 августа 2017:
Расширение / Extension: .cesar
Составное расширение (пример): .id-xxxxxxxx.[gladius_rectus@aol.com].cesar
Email: gladius_rectus@aol.com

Обновление от 23 августа 2017:
Сообщение >>
Расширение: .arena
Составное расширение: bg.3pg.id-04C9470B.[sindragosa@bigmir.net].arena
Предыдущее расширение: .cezar
Записка: FILES ENCRYPTED.txt
Содержание:
all your data has been locked us
You want to return?
write email sindragosa@bigmir.net

Обновление от 25 августа 2017:
Исполняемый файлы типа:
MSHTA.EXE-A970B441
MSHTA.EXE-A732B422
Расширение: .arena
Шаблон расширения заш-файлов: .id-<id>.[email].arena, среди них известны:
.id-<id>.[chivas@aolonline.top].arena
.id-<id>.[m.heisenberg@aol.com].arena
Маркер файлов: H5KF8E
Записки: FILES ENCRYPTED.txt и info.hta

Содержание txt-записки см. выше (23 августа) с новым email
Email: chivas@aolonline.top
m.heisenberg@aol.com
Результаты анализов: HA+VT
Статья на BC >>

Обновление от 12 сентября 2017:
Расширение: .arena
Составное расширение: .[suppyes@cock.li].arena
Email: suppyes@cock.li

Обновление от 29 сентября 2017:
Группа: Dharma-Cezar (.cezar)
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Составное расширение: .id-48B2B43F.[chivas@aolonline.top].cesar
Email: chivas@aolonline.top

Обновление от 11 октября 2017:
Расширение: .arena
Составное расширение: .id-AE16E5FE.[luckyman@cock.li].arena
Email: luckyman@cock.li и realluckyman@bigmir.net
Пример темы на форуме >>
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email luckyman@cock.li or realluckyman@bigmir.net

Обновление от 11 октября 2017:
Расширение: .cesar
Составное расширение: .id-<id>.[decrypt2010btc@cock.li].cesar
Email: decrypt2010btc@cock.li и bestbitforch@airmail.cc
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email decrypt2010btc@cock.li or bestbitforch@airmail.cc

Обновление от 17 октября 2017:
Расширение: .arena
Составное расширение: .id-<id>.[admindecrypt@cock.li].arena
Записка: FILES ENCRYPTED.txt

Обновление от 18 и 24 октября 2017:
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Примеры составных расширений:
.id-84D098AE.[Gladius_adeptus@aol.com].cesar
.id-94BF6034.[Oleander_mortis@aol.com].cesar
Email: Gladius_adeptus@aol.com и Oleander_mortis@aol.com

Обновление от 30 октября 2017:
Сообщение >>
Расширение: .arena
Составное расширение: .id-ECA2BBC2.[batmanbitka1@cock.li].arena
Email: batmanbitkal@cock.li и batmanbitkal@tutanota.com
Записка: FILES ENCRYPTED.txt
Видеообзор от GrujaRS >>

Обновление от 2 ноября 2017:
Расширение: .arena
Составное расширение: .id-49509AB8.[support@decrypt.ws].arena
Email: support@decrypt.ws
Тема на форуме >>
Домен decrypt.ws - это не публичная email-служба, как можно подумать. Этоn домен сейчас прикреплен к Hostland.ru, но зарегистрирован в Германии (телефонный код +49). Ранее домен decrypt.ws засветился всвязи с деятельностью криптовымогателя Paradise Ransomware.

Обновления октября-ноября 2017:
Email: instertcoin@usa.com
emailme@italymail.com
horaceingram@mail.com

Обновление от 6 ноября 2017:
Расширение: .arena
Составное расширение: .id-6889E5E1.[mikecoins@qq.com].arena
Email: mikecoins@qq.com и dd@airmail.cc
Сумма выкупа: 0.73 BTC
Результаты анализов: VT
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email mikecoins@qq.com or dd@airmail.cc

Обновление от 6 ноября 2017:

Расширение: .arena
Составное расширение: .id-C4BA3647.[trump123@cock.li].arena
Маркер файла: D49F0C
Email: trump123@cock.li и trump123@tutanova.com
Результаты анализов: HA + AnyRun

Обновление от 7 ноября 2017:
Расширение: .arena
Составное расширение: .id-<id>.[VanDamme@aolonline.top].arena

Обновление от 7 ноября 2017:
Сообщение >>
Подробная статья на BC >> (добавлена позже)
Расширение: .cobra
Составное расширение: .id-E229B4BF.[cranbery@colorendgrace.com].cobra
Шаблон составного расширения: .id-<id>.[email_ransom].cobra
Пример зашифрованного файла: Document Word.doc.id-E229B4BF.[cranbery@colorendgrace.com].cobra
Email: cranbery@colorendgrace.com
Записки: Files encrypted!!.txt и info.hta
Идентификация: ID под Dharma (.cezar)
Результаты анализов: VT

Обновление от 20 ноября 2017:
Сообщение >>
Расширение: .java
Примеры заш-файлов:
malu.jpg.id-FA330904.[sm@uwmanage.com].java
hant.lnk.id-7E177353.[1778357646@qq.cam].java
Email: sm@uwmanage.com и 1778357646@qq.cam

Обновление от 28 ноября 2017:
Расширение: .java
Пример заш-файла:
document.id-A0AED89E.decrypex@tuta.io
Записка: FILES ENCRYPTED.txt.java
Email: decrypex@tuta.io
Топик на форуме >>

Обновление от 3 декабря 2017:

Сообщение >>
Расширение: .java
Шаблон расширения: .id-<id>.{<email>}.java
Теперь используются фигурные скобки.
Email: faremar@cock.li
Файл: payload_56TGSS.exe
Результаты анализов: VT
<< Примеры заш-файлов

Обновление от 9 декабря 2017:
Расширение: .java
Пример расширения: .id-1C56D44A.[Workup@india.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: workup@india.com
BTC-кошелёк: 1Ho5H5hsUSytJKHhCoSUBE1QztCCsEDsFq
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email Workup@india.com
Атакует серверы, базы данных 1С и блокирует работу приложений.
Тема на форуме >>

Обновление от 22 декабря 2017:

Расширение: .java
Пример расширения: .id-1201A1A8.[bacon@oddwallps.com].java
Email: bacon@oddwallps.com

Тема на форуме >>

Обновление от 28 декабря 2017:
Расширение: .java
Пример расширения: .id-8463DA9B.[darkfuture@cock.li].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: darkfuture@cock.li
Тема на форуме >>

=== 2018 ===

Обновление от 3 января 2018:
Расширение / Extension: .java
Пример расширения: .id-B252B84D.[stopstorage@qq.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: stopstorage@qq.com

Обновление от 5 января 2018:

Расширение / Extension: .java
Пример расширения: .id-E8F4FE5C.[decrypthelp@qq.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: decrypthelp@qq.com и decrypthelp2@qq.com
Файл: 1taskhoste.exe
Результаты анализов: HA + VT + HA + VT
<< Скриншот части записки Info.hta
*
Расположения HTA-записок:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

Обновление от 8 января 2018:
Расширение: .java
Расширение / Extension: .id-B8F053EC.[sabantui@tutanota.com].java
Email: sabantui@tutanota.com и udacha@cock.li
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email sabantui@tutanota.com or udacha@cock.li
Содержание записки Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sabantui@tutanota.com
Write this ID in the title of your message B8F053EC
In case of no answer in 24 hours write us to theese e-mails:udacha@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 18 января 2018:
Расширение / Extension: .java
Составное расширение: .id-12AB34CD.[habibi.habibi3@aol.com].java
Email: habibi.habibi3@aol.com

Обновление от 28 января 2018:
Расширение / Extension: .java
Cоставное расширение: .id-34C25A5F.[ricky.martirosyan@aol.com].java
Email: ricky.martirosyan@aol.com

Обновление от 25 января 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .write
Составное расширение: .id-6243554F.[fiies.re3rore@aol.com].write
Email: fiies.re3rore@aol.com

Обновление 6 февраля 2018:
Расширение / Extension: .java
Составное расширение: .id-18B6F9CC.[alpha2018a@aol.com].java
Email: alpha2018a@aol.com

Обновление 7 февраля 2018:
Расширение / Extension: .java
Составное расширение: .id-15C9D8B8.[godfather_btc@aol.com].java
Email: godfather_btc@aol.com

Обновление 8 февраля 2018:
Расширение / Extension: .java
Email: info@witchevil.tk

Обновление 14 февраля 2018:
Расширение / Extension: .java

Составное расширение: .id-xxxxxxxx.[zeus.throne@aol.com].java
Email: zeus.throne@aol.com
BTC: 17x1KppxW7TnTdN9oYFaNwmMF2vTxxz2dn

Обновление от 19 февраля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-626A7656.[kisamurusa@tutanota.com].java
Email: kisamurusa@tutanota.com

---
Составное расширение (пример): .id-98895155.[debugs@protonmail.com].java
Email: debugs@protonmail.com

Обновление от 20 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java
Составное расширение (пример): .id-724B6679.[GuardBTC@cock.li].java
Email: GuardBTC@cock.li
Топик на форуме >>

Обновление от 28 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java
Составное расширение (пример): .id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
Email: Vegas_MOZ6@protonmail.com
Топик на форуме >>

Обновление от 1 марта 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java
Составное расширение (пример): id-1C16A3D5.[paymenttoday@firemail.cc].java
Email: paymenttoday@firemail.cc
Топик на форуме >>

Обновление от 1 марта 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .arrow
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].arrow
Составное расширение (пример): .id-62A1C276.[bitcoin888@cock.li].arrow
Составное расширение (пример): .id-1E86285C.[Blammo@cock.li].arrow
Составное расширение (пример): .id-2A65682G.[marat20@cock.li].arrow
Email: bitcoin888@cock.li
Blammo@cock.li
marat20@cock.li
Топик на форуме >>

Обновление от 7 марта 2018:
Расширение: .arrow

Составное расширение: .id-XXXXXXXX.[Blammo@cock.li].arrow
Email: vauvau@cock.li, Blammo@cock.li

Обновление от 13 марта 2018:

Сообщение >>
🎥 Видеообзор >>
Расширение: .java
Пример составного расширения: .id-C4945C9F.[bacon@oddwallps.com].java
Записка: FILES ENCRYPTED.txt
Email: bacon@oddwallps.com
pepsi666@protonmail.com
Результаты анализов: HA + VT
Скриншот записки с exe-файлом на Рабочем столе.

Обновление от 30 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java
Составное расширение (пример): .id-3C5235A0.[filebackup999@cock.li].java
Email: filebackup999@cock.li
Топик на форуме >>
Топик на форуме >>

Обновление от 31 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java
Пример зашифрованного файла: Module.rtm.id-3AAxxxxx.[Recoverys2018@cock.li].java
Email: Recoverys2018@cock.li
Пост на форуме >>

Обновление от 2 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-E4B7FBD4.[ventablack@tutanota.de].arrow
Email: ventablack@tutanota.de
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-881525EC.[restorehelp.@qqmail.com].java
Email: restorehelp.@qqmail.com
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[deblans@protonmail.com].arrow
Email: deblans@protonmail.com
Записка: Info.hta
Файл: 1U9C8B9.exe
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-36BA5732.[letmehelpyou@cock.li].arrow
Email: letmehelpyou@cock.li
Топик на форуме >>

Обновление от 4 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-1DC5A473.[Filecode99@cock.li].arrow
Email: filecode99@cock.li
Файлы: W96R2C_payload.exe
Топик на форуме >>

Обновление от 5 апреля 2018:
Расширение / Extension: .arrow
Email: amaya_payne2@aol.com, nikki.lond2@aol.com
Результаты анализов: VT

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-2EC1CB52.[filebackup999@cock.li].java
Записка: FILES ENCRYPTED.txt
Email: filebackup999@cock.li
Топик на форуме >>

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-94BC3565.[biglocker@airmail.cc].java
Записка: FILES ENCRYPTED.txt
Email: biglocker@airmail.cc
Пост на форуме >>

Обновление от 11 апреля 2018:

Расширение / Extension: .arrow
Составное расширение (пример): id-62F6E0C5.[return.data@qq.com].arrow
Записка: Info.hta
Email: return.data@qq.com
BTC: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
Файл: Explorer.exe
Топик на форуме >>
Содержание записки о выкупе Info.hta:
Your files have been encrypted because you care badly about your security system.
We do not deliberately hacked you, it was an accident.
We can and we will help you if you accept our offer.
We always keep our promises.
You must make payment in BITCOINS to our adress.
After payment we will send to you detailed instructions and personal decoder for your infected device.
Also we will give you tips for improve your security.
Please make your decision as soon as possible! Otherwise, the price can change!
The price is 0,7 BTC.
our wallet is: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
If you plan to get your data back, please write to us that you have read our terms.
Also you can make free test decryption. Conditions for test decryption:
1) You can send FEW files for test decrypting. Maximum files for test is 3.
2) Put your files in one archive, and upload your files here: dropfile.to and send to us link.
3) We don't decrypt ".exe" files, archives, databases, and backups for test(read: for free).
You can send another files like jpg pdf xls doc and other.
4) Files should not have the same extensions. One extesion - one file.
5) Total max size of test files is 5 mb(non-archived)!
6) If you will send to us test files it's mean that you completely agree with our proposal for decryption.

Обновление от 14 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-D86B1905.[gettkey@qq.com].java
Email: gettkey@qq.com и xtrachance@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta
Содержание записки о выкупе FILES ENCRYPTED.txt :
all your data has been locked us
You want to return?
write email gettkey@qq.com or xtrachance@qq.com

Обновление от 16 апреля 2018:

Расширение / Extension: .arrow
Составное расширение (пример): .id-2C21Bxxx.[keygena@aol.com].arrow
Записки: Info.hta, FILES ENCRYPTED.txt
Email: keygena@aol.com, keygena@cock.li

Обновление от 20 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-8881Exxx.[becky.cely2@aol.com].arrow
Email: becky.cely2@aol.com

Обновление от 26 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[mindysnell2@aol.com].arrow
Email: mindysnell2@aol.com

Обновление от 3 мая 2018:
Расширение / Extension: .java
Составное расширение (пример): id-BEA67A84.[restorehelp@qq.com].java
Email: restorehelp@qq.com
Топик на форуме >>

Обновление от 14 мая 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-xxxxxxxx.[decrypthelp@qq.com].arrow
Email: Decrypthelp@qq.com

Обновление от 15 мая 2018:

Сообщение >>
Статья на BC >>
Группа: Dharma-Cezar (.cezar)
Расширение: .bip
Составное расширение: .[restoresales@airmail.cc].bip
Составное расширение: .[beamsell@qq.com].bip
Email-1: restoresales@airmail.cc
Email-2: beamsell@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta

➤ Содержание файла INFO.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Beamsell@qq.com
Write this ID in the title of your message BCBEF350
In case of no answer in 24 hours write us to theese e-mails:Beamsell@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
➤ Содержание файла FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Beamsell@qq.com
Результаты анализов: VT + VT + VT

Обновление от 16 мая 2018:
Расширение: .bip
Составное расширение: .id-3CFEE1F7.[298347823@tuta.io].bip
Email: 298347823@tuta.io
Файл: DHL.exe
Записка: Info.hta

Обновление от 20 мая 2018:
Расширение: .bip
Email: luxenburg@tutanota.com
londonlondon@cock.li

Обновление от 24 мая 2018:
Расширение / Extension: .java
Составное расширение: .[decodingfiles@airmail.cc].java
Email: decodingfiles@airmail.cc
BTC: 15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Содержание записки о выкупе:
Decoding Files 0.3 BTC
translation at the expense of Bitcoin
15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program
Топик на форуме >>

Обновление от 26 мая 2018:

Сообщение >>
Расширение: .arrow
Составное расширение: .[java2018@tuta.io].arrow
Email-1: java2018@tuta.io
Email-2: java2018@india.com
Записка: Info.hta
Файлы: withlove.exe, mode.com
Результаты анализов: HA + VT
🎥 Видеообзор >>

Обновление от 28 мая 2018:
Расширение: .bip
Составное расширение: .id-0021B708.[return24data@cock.li].bip
Email: return24data@cock.li
Файл: DHL.exe или другой
Записка: Info.hta
Пост на форуме >>

Обновление от 6 июня 2018:
Расширение: .arrow
Составное расширение: .id-0021B708.[helprestore@cock.li].arrow
Email: helprestore@cock.li
Пост на форуме >>

Обновление от 11 июня 2018:
Расширение: .arrow
Составное расширение: .id-9ACE3897.[simple_decrypt@qq.com].arrow
Email: simple_decrypt@qq.com
Записки: как прежде
➤ Ответ вымогателей в письме:
1. Calculation of decoding cost
The cost of decryption for you is "0.6" bitcoin. (Bitcoin is a form of digital currency)
0.6 bitcoin it`s a fixed cost for first key.
Every next keys cost 0.05 bitcoin
All externall drives (USB or NAS or another) it`s different keys.
One key can decrypt 1 computer or server.
If you have NAS it`s another 1 key.
If you have USB it`s another 1 key.
Any EXTERNAL DRIVES (USB or NAS or another) it`s another 1 key.
Examples: If you have 1 server. 1 computer with many local disk. 1 Nas and 1 USB. It`s 4 keys.
Total price: 0.6+0.05+0.05+0.05 = .75 bitcoins.
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
3. Free decryption as guarantee
You can send us up to 3 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1EGB5Qqa1Z6LT8LriPY4YQamPGzEwLFxgN". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Обновление от 12 июня 2018:
Расширение: .bip
Составное расширение: .[avarufilturner@aol.com].bip
Email: avarufilturner@aol.com
Записка: Info.hta
Пост на форуме >>

Обновление от 25 июня 2018:
Расширение: .bip
Составное расширение: .id-F25E5DE4.[Worldcry@cock.li].bip
Email: Worldcry@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Worldcry@cock.li
Записка: Info.hta
➤ Содержание Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li
Write this ID in the title of your message F25E5DE4
In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
https://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Пост на форуме >>

Обновление от 26 июня 2018:
Расширение: .bip
Составное расширение:.id-xxxxxxxx.[ballabor7@aol.com].bip
Email: ballabor7@aol.com, ballb535@aol.com
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email ballabor7@aol.com or ballb535@aol.com
Пост на форуме >>

Другие обновление июня 2018 (дата не указана):
Составное расширение: .id-XXXXXXXX.[black.mirror@qq.com].arena
Составное расширение: .id-XXXXXXXX.[black.mirror@qq.com].java
Составное расширение: .id-XXXXXXXX.[Brazzers@aolonline.top].arena
Составное расширение: .id-XXXXXXXX.[btc.me@india.com].cezar
Составное расширение: .{mixifightfiles@aol.com}BIT

Обновление от 3 июля 2018:
Расширение: .arrow
Составное расширение: .id-xxxxxxxx.[quickunlocker@india.com].arrow
Записка: FILES ENCRYPTED.txt
Email: quickunlocker@india.com

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-04A6A938.[avarufilturner@aol.com].bip
Записка: FILES ENCRYPTED.txt
Email: avarufilturner@aol.com

Обновление от 5 июля 2018:
Расширение: .java
Составное расширение: .id-C0F8EC7D.[GeorgeWashington@cock.li].java
Записка: FILES ENCRYPTED.txt
Email: GeorgeWashington@cock.li
Топик на форуме >>

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[buydecrypt@qq.com].bip
Записка: FILES ENCRYPTED.txt
Email: buydecrypt@qq.com

Обновление от 10 июля 2018:
Расширение: неизвестно
Email: master888@tutanova.com

Обновление от 16 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[zara2018@cock.li].bip
Email: zara2018@cock.li

Обновление от 19 июля 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[Eterniity@qq.com].bip
Email: Eterniity@qq.com
Пост на форуме >>

Обновление от 23 июля 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[combo@tutanota.de].combo
Шаблон расширения: .id-<id>.[<email>].combo
Email: combo@tutanota.de

Обновление от 6 июля 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[olivias3vzjscott@aol.com].bip
Записка: FILES ENCRYPTED.txt
Email: olivias3vzjscott@aol.com, laurenlyfxecarter@aol.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email olivias3vzjscott@aol.com or laurenlyfxecarter@aol.com

Обновление от 9 июля 2018:
Сообщение >>
Расширение: .cmb
Составное расширение (шаблон): .id-<XXXXXXXX>.[<email>].cmb
Пример зашифрованного файла: My_documents.doc.id-58ABC52F.[paymentbtc@firemail.cc].cmb
Записка: FILES ENCRYPTED.txt
Результата анализов: VT + HA + VB + IA

Обновление от 12 августа 2018:
Расширение: .bip
Email: dec999@cock.li
Составное расширение: .id-XXXXXXXX.[dec999@cock.li].bip
Топик на форуме >>

Обновление от 14 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[bitpandacom@qq.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Email: bitpandacom@qq.com
BTC: 1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca
Топик на форуме >>
Топик на форуме >>
➤ Ответ вымогателей:
1. Decoding cost
The cost of decryption is 3 500 $. We receive payment only in BITCOINS. (Bitcoin is a form of digital currency)
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible.
3. Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins:
https://localbitcoins.com/
https://www.bitpanda.com/
https://paxful.com/
https://www.abra.com/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.

Ответ операторов:
I’m an email operator. I'll try to answer all your questions and help you to decrypt files. To start answer:
1. How many computers with local disks are encrypted?
2. How many external hard drives or NAS are encrypted?
3. Write your ID. (you can find it in the name of the files)

Обновление от 17 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[taliferro.correa@aol.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Пример зашифрованного файла: file_name.doc.id-3EED4567.[taliferro.correa@aol.com].combo
Email: taliferro.correa@aol.com

Обновление от 20 августа 2018:
Расширение: .java
Составное расширение: .id-XXXXXXXX.{uorenbufet@cock.li}.java
Email: uorenbufet@cock.li

Обновление от 26 августа 2018:
Расширение: .arrow
Сумма выкупа: 0.6-1BTC
Email: helprecovery@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email helprecovery@cock.li
Пост на форуме >>

Обновление от 27 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[demassagaddison@aol.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Пример зашифрованного файла: file_name.doc.id-4CAA1234.[demassagaddison@aol.com]
Email: demassagaddison@aol.com
Файл: shaofao.exe
Топик на форуме >>

Обновление от 31 августа 2018:
Расширение: .java
Составное расширение: .id-XXXXXXXX.[Bas_ket@aol.com]
Email: Bas_ket@aol.com
➤ Содержание записки
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Bas_ket@aol.com
Write this ID in the title of your message
In case of no answer in 24 hours write us to theese e-mails: Bas_ket@aol.com
Топик на форуме >>

Обновление от 7 сентября 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[help-123@tutanota.com].bip
Email: help-123@tutanota.com

Обновление от 8 сентября 2018:
Сообщение >>
Расширение: .brrr
Составное расширение: .id-XXXXXXXX.[paydecryption@qq.com].brrr
Email: paydecryption@qq.com
Записки: FILES ENCRYPTED.txt, Info.hta

Файлы: Penland Kilby.exe и другие
Результаты анализов: VT + VT + VT
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email paydecryption@qq.com
➤ Содержание записки Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail paydecryption@qq.com
Write this ID in the title of your message [id]
In case of no answer in 24 hours write us to theese e-mails:paydecryption@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Обновление от 16 сентября 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[<email>].gamma
Примеры найденных расширений:
.[bebenrowan@aol.com].gamma
.[fidelio.bartyn@aol.com].gamma
.[godfreynivison@aol.ccm].gamma
.[webbizak@aol.com].gamma
.[burchbabbington@aol.com].gamma
Email: bebenrowan@aol.com
fidelio.bartyn@aol.com
godfreynivison@aol.ccm
webbizak@aol.com
burchbabbington@aol.com
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT

Обновление от 18 сентября 2018:
Сообщение >>
Расширение: .monro
Составное расширение: .[icrypt@cock.li].monro
Записки: FILES ENCRYPTED.txt, Info.hta
Email: icrypt@cock.li
Файл: PassGen.exe
Результаты анализов: VT + VB

Обновление от 20 сентября 2018:
Сообщение >>
Расширение: .bkp
Составное расширение: .[bkp@cock.li].bkp
Email: bkp@cock.li
Результаты анализов: VT + VB

Обновление от 23 сентября 2018:
Расширение: .combo
Составное расширение: .[lok07@tuta.io].combo
Email: lok07@tuta.io

Обновление от 2 октября 2018:
Сообщение >>
Расширение: .btc
Составное расширение: .id-9C354B42.[btc@fros.cc].btc
Записки: Info.hta + FILES ENCRYPTED.txt
Email: btc@fros.cc
Результаты анализов: VT + VT + VMRay

Обновление от 5 октября 2018:
Сообщение >>
Расширение: .bgtx
Составное расширение: .id-F44048E7.[decrypt@fros.cc].bgtx
Записки: Info.hta + FILES ENCRYPTED.txt
Email: decrypt@fros.cc
Результаты анализов: VT

Обновление от 28 сентября - 8 октября 2018:
Сообщение >>
Расширение: .boost
Составное расширение: .id-XXXXXXXX.[boston.crypt@tuta.io].boost
Записки: Info.hta + FILES ENCRYPTED.txt
Email: boston.crypt@tuta.io
Результаты анализов: VT

Обновление от 11 октября 2018:
Сообщение >>
Расширение: .waifu
Составное расширение: .id-XXXXXXXX.[Darknes@420blaze.it].waifu
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Darknes@420blaze.it
Результаты анализов: VT + VMRay + VT + HA

Обновление от 13 октября 2018:
Сообщение >>
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[mixon.constantine@aol.com].gamma
Записки: Info.hta + FILES ENCRYPTED.txt
Email: mixon.constantine@aol.com, mclainmelvin@aol.com
Результаты анализов: VT

Обновление от 18 октября 2018:
Расширение: .combo
Составное расширение: .[broodmother@cock.li].combo
Email: broodmother@cock.li

Обновление от 19 октября 2018:
Сообщение >>
Расширение: .betta
Составное расширение: .id-XXXXXXXX.[backtonormal@foxmail.com].betta
Записки: Info.hta + FILES ENCRYPTED.txt
Email: backtonormal@foxmail.com
Результаты анализов: VT + HA

Обновление от 24 октября 2018:
Пост на форуме BC >>
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[koreyrandle@aol.com].gamma
Записки: Info.hta + FILES ENCRYPTED.txt
Email: koreyrandle@aol.com
Результаты анализов: VT

Обновление от 24 октября 2018:
Сообщение >>
Расширение: .vanss
Составное расширение: .id-XXXXXXXX.[Blacklist@cock.li].vanss
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Blacklist@cock.li
Результаты анализов: VT

Обновление от 25 октября 2018:
Сообщение >>
Расширение: .FUNNY
Составное расширение: .id-XXXXXXXX.[WildMouse@cock.li].FUNNY
Записки: Info.hta + FILES ENCRYPTED.txt
Email-1: WildMouse@cock.li
Email-2: unlock24@cock.li
Результаты анализов: VT + HA

Обновление от 28 октября 2018:
Сообщение >>
Расширение-1: .gdb
Расширение-2: .like
Записки: Info.hta + FILES ENCRYPTED.txt
Email-1: GetDataBack@fros.cc
Email-2: help@decrypt-files.info
Результаты анализов: VT + VMRay + VT + HA

Обновление от 30 октября 2018:
Сообщение >>
Расширение: .xxxxx
Составное расширение: .id-c4769e4d.[syndicatexxx@aol.com].xxxxx
Записки: Info.hta + FILES ENCRYPTED.txt
Email: syndicateXXX@aol.com
Результаты анализов: VT + HA + VT

Обновление от 30 октября 2018:
Расширение: .lock
Составное расширение: .id-30CE2F6F.[unlock@fros.cc].lock
Записки: Info.hta + FILES ENCRYPTED.txt
Email: unlock@fros.cc
➤ Содержание записки:
all your data has been locked us
You want to return?
write email unlock@fros.cc
Топик на форуме >>

Обновление от 5 ноября 2018:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[badbusiness@tutanota.de].adobe
Email: badbusiness@tutanota.de

Обновление от 6 ноября 2018:
Сообщение >>
Расширение: .tron
Составное расширение: .id-001DBf12.[xtron@cock.li].tron
Email: xtron@cock.li, xtron@fros.cc
Файл: ProgSnake.exe
Результаты анализов: VT + VMRay

Обновление от 9 ноября 2018:
Сообщение >>
Расширение-1: .AUDIT
Расширение-2: .cccmn
Email-1: payransom@qq.com
Email-2: decrypt_arena@india.com
Результаты анализов: VT + VT

Обновление от 22 ноября 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[btcdecripter@qq.com].adobe
Email: btcdecripter@qq.com

Обновление от 15 ноября 2018:
Сообщение >>Расширение: .Bear
Составное расширение: .id-XXXXXXXX.[Grizzly@airmail.cc].Bear
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Grizzly@airmail.cc

Результаты анализов: VT + VT

Обновление от 17 ноября 2018:
Сообщение >>
🎥 Видеообзор >>
Расширение: .fire
Составное расширение: .id-XXXXXXXX.[suppfirecrypt@qq.com].fire
Записки: Info.hta + FILES ENCRYPTED.txt
Email: suppfirecrypt@qq.com
Результаты анализов: VT + HA

Обновление от 22 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[stopencrypt@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: stopencrypt@qq.com

Обновление от 23 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[forestt@protonmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: forestt@protonmail.com

Обновление от 25 ноября 2018:
Сообщение >>
Расширение: .myjob
Составное расширение: .id-XXXXXXXX.[goodjob24@foxmail.com].myjob
Записки: Info.hta + FILES ENCRYPTED.txt
Email: goodjob24@foxmail.com
Файл EXE: expiorer.exe
Результаты анализов: VT

Обновление от 27 ноября 2018:
Сообщение >>
Расширение: .war
Составное расширение: .id-XXXXXXXX.[cyberwars@qq.com].war
Записки: Info.hta + FILES ENCRYPTED.txt
Email: cyberwars@qq.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email cyberwars@qq.com

Обновление от 27 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[youneedfiles@india.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: youneedfiles@india.com

Обновление от 28 ноября 2018:
Сообщение >>
Расширение: .risk
Составное расширение: .id-XXXXXXXX.[audit@cock.li].risk
Записки: Info.hta + FILES ENCRYPTED.txt
Email: audit@cock.li
Результаты анализов: VT

Обновление от 29 ноября 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[garenraypha1989@aol.com].adobe
Email: garenraypha1989@aol.com, odasnasri1976@aol.com

Обновление от 30 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[admindecryption@cock.li].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: admindecryption@cock.li

Обновление от 30 ноября 2018:
Расширение: .adobe
Составное расширение: .[mercarinotitia@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: mercarinotitia@qq.com

Обновление от 30 ноября 2018:
Сообщение >>
Расширение: .adobe
Составное расширение в примере на сайте ANY.RUN: .[parambingobam@cock.li].adobe
Составное расширение в примере на сайте Hybrid Analysis на файлах расширение: ._parambingobam@cock.li_.adobe
Пример зашифрованного файла: Composite.docx.id-24C2B6A0._parambingobam@cock.li_.adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: parambingobam@cock.li, bufytufylala@tuta.io
Файл EXE: svhost.exe
Результаты анализов: VT + HA + AR

Обновление от 4 декабря 2018:
Сообщение >>
Расширение: .RISK
Email: audit24@qq.com
Файл EXE: realtek.exe
Результаты анализов: VT

Список известных email вымогателей на начало декабря 2018:
5btc@protonmail.com
aidaclark2@aol.com
amanda_sofost@india.com
aptopfawkvee1975@aol.com
backfiles2@aol.com
backtonormal@foxmail.com
bacon@oddwallps.com
bitcoin143@india.com
bolkemafetehia@aol.com
brolin.tasso@aol.com
buydecrypt@qq.com
condneparrio1976@aol.com
contreavili1974@aol.com
darrellgrant628@aol.com
decrypt injury@india.com
decrypt.guarantee@aol.com
decrypt.guarantee@aol.com
decryptdata@qq.com
decrypter2018@hotmail.com
decrypthelp@qq.com
decryptprof@qq.com
diegobtc@tutanota.com
Eterniity@qq.com
fairman2@cock.li
fairman3@cock.li
filedec@tuta.io
filerestore@cock.li
fittanatos@cock.li
garenraypha1989@aol.com
garvinford@aol.com
gettkey@qq.com
helper2k17@india.com
helperwindows@cock.li
heslo_1@protonmail.com
injury@india.com
katiabloom@aol.com
krastycorp@aol.com
lola2017@tuta.io.arena
maja_ashby2@aol.com
marialz280williams@aol.com
mazma@india.com
menhausl@aol.com
MillardFillmore@cock.li
mindysnell2@aol.com
mixon.constantine@aol.com
mp35@protonmail.com
nomascus@india.com
payransom@qq.com
peekaboo@qq.com
pettyealoin@aol.com
raclawtravier@aol.com
restorehelp@cock.li
rigopril123@cock.li
robot2018@tutanota.com
sh2137@email.vccs.edu
skycry17@qq.com
sqlbackup40@cock.li
stopencrypt@qq.com
strongman@cock.li
surprise24@rape.lol
syndicateXXX@aol.com
terrabyte8@india.com
Torontos@tuta.io.combo
xmen_xmen@aol.com
youfiles@dd.com
zula.ryall2@aol.com

Обновление от 5 декабря 2018:
Сообщение >>
Сообщение >>
Расширение: .bkpx
Составное расширение: .[admin@decryption.biz].bkpx
Email: Admin@decryption.biz
Файл EXE: TaskifierV.exe
Результаты анализов: VT

Обновление от 7 декабря 2018:
🎥 Видеообзор >>
Сообщение от 10 декабря >>
Расширение: .santa
Составное расширение: .id-XXXXXXXX.[newsantaclaus@aol.com].santa
Записки: Info.hta + FILES ENCRYPTED.txt
Email: newsantaclaus@aol.com

Файл EXE:
Результаты анализов: VT + HA
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email newsantaclaus@aol.com
➤ Содержание записки Info.hta:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail newsantaclaus@aol.com
Write this ID in the title of your message 1C******
In case of no answer in 24 hours write us to theese e-mails: newsantaclaus@aol.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Обновление от 7 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX. [payransom@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: payransom@qq.com

Обновление от 8 декабря 2018:
Топик на форуме >>
Расширение: нет данных
Составное расширение: .id-XXXXXXXX.[seautylola1976@aol.com].***
Записки: Info.hta + FILES ENCRYPTED.txt
Email: seautylola1976@aol.com, leberciouded1975@aol.com

➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to Return?
write email seautylola1976@aol.com or leberciouded1975@aol.com

Обновление от 9 декабря 2018:
Расширение: .adobe
Составное расширение: .[avflantuheems1984@aol.com].adobe
Email: avflantuheems1984@aol.com, sasutemul1972@aol.com
Файл: avflantuheems1984.exe
Результаты анализов: HA + VT

Обновление от 10 декабря 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[vipcry@rape.lol].adobeEmail: vipcry@rape.lol
Записки: Info.hta + FILES ENCRYPTED.txt

➤ Содержание записки:
all your data has been locked us
You want to Return?
write ema
il seautylola1976@aol.com or leberciouded1975@aol.com

Обновление от 10 декабря 2018:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[manpecamet1974@aol.com].adobe
Email: manpecamet1974@aol.com, raxisubsro1977@aol.com
Записки: Info.hta + FILES ENCRYPTED.txt

Файл EXE: 123.exe
Результаты анализов: VT + HA

Обновление от 11 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[stopencrypt@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: stopencrypt@qq.com

Обновление от 13 декабря 2018:
Сообщение >>
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[skynet45@cock.li].combo
Записки: Info.hta + FILES ENCRYPTED.txt
Email: skynet45@cock.li, skynet45@tutanota.com

Результаты анализов: VT + HA

Обновление от 14 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[kores@cock.li].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: kores@cock.li

Обновление от 17 декабря 2018:
Расширение: .like
Составное расширение: .id-XXXXXXXX.[HELPFUL@decrypt-files.info].like
Записки: Info.hta + FILES ENCRYPTED.txt
Email: HELPFUL@decrypt-files.info

Обновление от 19 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[heriberto_lazcano@aol.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: heriberto_lazcano@aol.com

Обновление от 20 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[ovthafeja1987@aol.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: ovthafeja1987@aol.com

Обновление от 22 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: veracrypt@foxmail.com

Обновление от 25 декабря 2018:
Сообщение >>
Расширение: .bizer
Составное расширение: id-XXXXXXXX.[silver@decryption.biz].bizer
Email: silver@decryption.biz
Результаты анализов: VT

Обновление от 26 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[backtonormal@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: backtonormal@foxmail.com

Обновление от 26 декабря 2018:
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: veracrypt@foxmail.com
Файл EXE: vera.exe, 1Vera.exe, 1vera.exe
Результаты анализов: VT + HA

=== 2019 ===

Обновление от 1 января 2019:
Пост на форуме >>
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[garenraypha1989@aol.com].adobe
Записка: Info.hta
Email: garenraypha1989@aol.com

Обновление от 2 января 2019:
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[decryptdata@qq.com].adobe
Email: decryptmyfiles@qq.com
BTC: 1JAET7671EGy2nnT4VNjznr5Di6XCsqFwW
BTC: 1LryFGg4GDnYbmd5kHM7qV73jxxaD1o3FP
➤ Пример ответного письма вымогателей (ссылка):
1. Decoding cost
The cost of decryption is 6 500 $. We receive payment only in BITCOINS. (Bitcoin is a form of digital currency)
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible.
3. Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1LryFGg4GDnYbmd5kHM7qV73jxxaD1o3FP". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
https://www.bitpanda.com/
https://paxful.com/
https://www.abra.com/ FOR CHINA: https://www.huobi.com/ https://www.bitoex.com/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.

Обновление от 9 января 2019:
Топик на форуме >>
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[obamausa7@aol.com].bip
Email: obamausa7@aol.com

Обновление от 12 января 2019:
Топик на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[heriberto_lazcano@aol.com].adobe
Записка: Info.hta
Email: heriberto_lazcano@aol.com
Файл EXE: realtec.exe

Обновление от 17 января 2019:
Расширение: .gif
Email: payadobe@yahoo.com
Результаты анализов: VT + VB

Обновление от 11 мая 2017:
Сообщение >>
Расширение: .wallet
Email: cryptoblazer@asia.com
Результаты анализов: VT + HA

Обновление от 18 января 2019:
Сообщение >>
Расширение: .java
Составное расширение: .id-XXXXXXXX.[stopstorage@qq.com].java
Записка: Info.hta
Email: stopstorage@qq.com
Результаты анализов: VT + HA

Обновление от 18 января 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[ovro@tuta.io].adobe
Записка: FILES ENCRYPTED
Email: ovro@tuta.io, oovro@aol.com
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email ovro@tuta.io or oovro@aol.com

Обновление от 18 января 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.Tocktock@qq.com.adobe
Записка: FILES ENCRYPTED
Email: Tocktock@qq.com
BTC: 17qg5zoQVkHo2Bomqt2wZgyUfitvhTVT9b
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Tocktock@qq.com

Обновление от 19 января 2019:
Сообщение >>
Расширение: .AUF
Записка: Info.hta
Email: Decisivekey@tutanota.com
Файл EXE: winhost.exe
Результаты анализов: VT + VMRay

Обновление от 19 января 2019:
Сообщение >>
Расширение: .btc
Составное расширение: .id-XXXXXXX.[raphaeldupon@aol.com].btc
Email: raphaeldupon@aol.com
Файл EXE: 1801.exe
Результаты анализов: VT + HA

Обновление от 21-22 января 2019:
Расширение: .heets
Составное расширение: .id-XXXXXXXX.[polmacpol@cock.li].heets
Email: polmacpol@cock.li

Обновление от 22-24 января 2019:
Сообщение >>
Топик на форуме >>
Расширение: .USA
Составное расширение: .id-42075XXX.[usacode@aol.com].USA
Email: usacode@aol.com
Результаты анализов: VT

Обновление от 22 января 2019:
Сообщение >>
Расширение: .xwx
Составное расширение: .id-XXXXXXXX.[data@decoding.biz].xwx
Email: data@decoding.biz
Результаты анализов: VT

Обновление от 23 января 2019:
Сообщение >>
Расширение: .best
Составное расширение: .id-XXXXXXXX.[bestdecoding@cock.li].best
Email: bestdecoding@cock.li
Результаты анализво: VT + VMRay

Обновление от 23 января 2019:
Расширение: .btc
Составное расширение: .id-C6857XXX.[writehere@qq.com].btc
Email: writehere@qq.com

Обновление от 23 января 2019:
Сообщение >>
Расширение: .heets

Обновление от 24 января 2019:
Топик на форуме >>
Топик на форуме BC >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[youneedfiles@india.com].adobe
Записка: FILES ENCRYPTED.txt:
Email: youneedfiles@india.com
BTC: 1FvKPhgMmZfrE2UDjcquJeoHC1TSWMA9sZ или другой
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email youneedfiles@india.com

Обновление от 26-28 января 2019:
Пост на форуме >>
Расширение: .usa
Составное расширение: .id-XXXXXXXX.[madbad@foxmail.com].usa
Записка: Info.hta
Email: madbad@foxmail.com
Результаты анализов: VT + HA

Обновление от 30 января 2019:
Сообщение >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[welesmatron@aol.com].btc
Email: welesmatron@aol.com, welesmatron@cock.li
Файл EXE:
Результаты анализов: VT + HA

Обновление от 31 января 2019:
Сообщение >>
Расширение: .qwex
Составное расширение: .id-XXXXXXXX.[backdata@qq.com].qwex
Email: backdata@qq.com
Файл EXE: LogSession.exe
Результаты анализов: VT

Обновление от 31 января 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[helpfilerestore@india.com].eth
Email: helpfilerestore@india.com
Результаты анализов: VT

Обновление от 1 февраля 2019:
Сообщение >>
Расширение: .air
Составное расширение: .id-XXXXXXXX.[satco@tutanota.com].air
Email: satco@tutanota.com
Файл EXE: winhost.exe
Результаты анализов: VT

Обновление от 1 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[skpayment@protonmail.com].btc
Email: skpayment@protonmail.com

Обновление от 4 февраля 2019:
Сообщение >>
Сообщение >>
Расширение: .888
Составное расширение: .id-XXXXXXXX.[donald888@mail.fr].888
Составное расширение: .id-XXXXXXXX.[drwho888@mail.fr].888

Записки: FILES ENCRYPTED.txt и Info.hta
Email-1: donald888@mail.fr
Email-2: drwho888@mail.fr
Результаты анализов: VT + VT + HA

Обновление от 5 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[skypayment@protonmail.com].btc
Email: skypayment@protonmail.com

Обновление от 5 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[welesmatron@aol.com].btc
Email: welesmatron@aol.com
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[korvin0amber@cock.li].amber
Email: korvin0amber@cock.li
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .frend
Составное расширение: .id-XXXXXXXX.[undogdianact1986@aol.com].frend
Email: undogdianact1986@aol.com
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[blackhat2019@aol.com].ETH
Email: blackhat2019@aol.com

Обновление от 14 февраля 2019:
Расширение: .KARLS
Составное расширение: .id-XXXXXXXX.[karlosdecrypt@outlook.com].KARLS
Email: karlosdecrypt@outlook.com
Результаты анализов: VT

Обновление от 14 февраля 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[raphaeldupon@aol.com].ETH
Email: raphaeldupon@aol.com
Записки: FILES ENCRYPTED, Info.hta

Результаты анализов: VT + HA

Обновление от 16 февраля 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[master777@tutanota.com].ETH
Email: master777@tutanota.com

Обновление от 16 февраля 2019:
Сообщение >>
Сообщение >>
Расширение: .aqva
Email: crypted_files@qq.com
Результаты анализов: VT + HA

Обновление от 22 февраля 2019:
Сообщение >>
Расширение: .AYE
Составное расширение: .id-XXXXXXXX.[sebekgrime@tutanota.com].AYE
Email: sebekgrime@tutanota.com
Результаты анализов: VT + VMR

Обновление от 24 февраля 2019:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[anticrypt@countermail.com].adobe
Email: anticrypt@countermail.com

Обновление от 26 февраля 2019:

Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[unblock@badfail.info].ETH

Email: unblock@badfail.info

Обновление от 1 марта 2019:

Топик на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[bfiles2@cock.li].ETH

Email: bfiles2@cock.li

Обновление от 3 марта 2019:
Сообщение >>
Расширение: .korea
Email: omfg@420blaze.it
420blaze.it => https://ovo.sc/
Результаты анализов: VT

Обновление от 5-8 марта 2019:
Сообщение >>
Сообщение >>
Расширение: .plomb
Составное расширение: .id-XXXXXXXX.[plombiren@hotmail.com].plomb
Email: plombiren@hotmail.com
Результаты анализов: VT + AR

Обновление от 8 марта 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[adobe-123@tutanota.com].ETH
Email: adobe-123@tutanota.com

Обновление от 11 марта 2019:
Сообщение >>
Расширение: .NWA
Составное расширение: .id-XXXXXXXX.[dr.crypt@aol.com].NWA
Записка: FILES ENCRYPTED.txt
Email: dr.crypt@aol.com
Результаты анализов: VT

Обновление от 11 марта 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[aq811@tutanova.com].ETH
Email: aq811@tutanova.com

Обновление от 13 марта 2019:
Сообщение >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[trupm@protonmail.com].com
Email: trupm@protonmail.com

Результаты анализов: VT

Обновление от 13 марта 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[decryptmyfiles@qq.com].ETH
Email: decryptmyfiles@qq.com

Обновление от 18 марта 2019:
Сообщение >>
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[amber777king@cock.li].amber
Email: amber777king@cock.li

Обновление от 18 марта 2019:
Сообщение >>
Расширение: .azero
Составное расширение: .id-XXXXXXXX.[cryptor55@cock.li].azero
Email: cryptor55@cock.li
Результаты анализов: VT

Обновление от 19 марта 2019:
Пост на форуме >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[Writehere@qq.com].btc
Email: Writehere@qq.com, dtrestorehelp@gmail.com

Обновление от 22 марта 2019:
Сообщение >>
Расширение: .bk666
Составное расширение: .id-XXXXXXXX.[berserk666@tutanota.com].bk666
Email: berserk666@tutanota.com
Результаты анализов: VT

Обновление от 26 марта 2019:
Пост на форуме >>
Расширение: .ETH

Email: heslo_1@protonmail.com
adobe-123@tutanota.com

Обновление от 27 марта 2019:
Расширение: .ETH
Email: sqlbackup2@mail.fr

Обновление от 28 марта 2019:
Сообщение >>
Расширение: .stun
Составное расширение: .id-XXXXXXXX.[unlockdata@foxmail.com].stun
Email: unlockdata@foxmail.com
Результаты анализов: VT

Обновление от 1 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[data_recovery_2019@aol.com].com
Записка: FILES ENCRYPTED.txt
Email: data_recovery_2019@aol.com
Результаты анализов: VT
➤ Содержание записки:
all your data has been locked us
You want to return?
write email data_recovery_2019@aol.com

Обновление от 1 апреля 2019:
Сообщение >>
Расширение: .ms13
Составное расширение: .id-XXXXXXXX.[ms_13@aol.com].ms13
Записки: FILES ENCRYPTED, Info.hta
Email: ms_13@aol.com
Результаты анализов: VT + VMR + AR

Обновление от 3 апреля 2019:
Топик на форуме >>
Расширение: .air
Составное расширение: .id-XXXXXXXX.[qqwp@tutanota.com].air
Email: qqwp@tutanota.com
Файлы EXE: winhost.exe, winhost_0.exe, winhost_1.exe

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[amber777king@cock.li].amber
Записка: FILES ENCRYPTED.txt
Email: amber777king@cock.li, amber777king@tutanota.com
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email amber777king@cock.li or amber777king@tutanota.com

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[altairs35@india.com].com
Записка: FILES ENCRYPTED.txt
Email: altairs35@india.com

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .[infinity@firemail.cc]
Составное расширение: .id-XXXXXXXX.[infinity@firemail.cc]
Записки: FILES ENCRYPTED, Info.hta
Email: infinity@firemail.cc

Обновление от 5 апреля 2019:
Сообщение >>
Расширение: .carcn
Составное расширение: .id-XXXXXXXX.[carcinoma24@aol.com].carcn
Записки: FILES ENCRYPTED, Info.hta
Email: carcinoma24@aol.com
Результаты анализов: VT + VMR

Обновление от 6 апреля 2019:
Сообщение >>
Расширение: .btix
Составное расширение: .id-XXXXXXXX.[encrypt11@cock.li].btix
Email: encrypt11@cock.li
Результаты анализов: VT + VMR

Обновление от 7 апреля 2019:
Расширение: .888
Составное расширение: .id-XXXXXXXX.[888superstar@mail.fr].888
Email: 888superstar@mail.fr
Записка: FILES ENCRYPTED.txt
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email 888superstar@mail.fr

Обновление от 8 апреля 2019:
Пост на форуме >>
Расширение: .heets
Составное расширение: .id-XXXXXXXX.[tartartary@cock.li].heets
Email: tartartary@cock.li

Обновление от 9 апреля 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[Darksides@tutanota.com].ETH
Email: Darksides@tutanota.com

Обновление от 10 апреля 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[Surprise24@rape.lol].adobe
Email: Surprise24@rape.lol
Записка: FILES ENCRYPTED.txt

Обновление от 10 апреля 2019:
Сообщение >>
Расширение: .gate
Составное расширение: .id-XXXXXXXX.[lockhelp@qq.com].gate
Email: lockhelp@qq.com
Файл EXE: 1csrss.exe
Результаты анализов: VT + VMR

Обновление от 11 апреля 2019:
Пост на форуме >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[rubaka@cock.li].btc
Email: rubaka@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email rubaka@cock.li

Обновление от 11 апреля 2019:
Сообщение >>
Расширение: .LOVE
Составное расширение: .id-XXXXXXXX.[seeyoubro@tutanota.com].LOVE
Email: seeyoubro@tutanota.com
Результаты анализов: VT + VMR

Обновление от 16 апреля 2019:
Топик на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[aq811@tutanota.com].ETH
Email: aq811@tutanota.com

Обновление от 16 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptyourdata@qq.com].com
Email: decryptyourdata@qq.com

Обновление от 18 апреля 2019:
Email: filekey77@tutanota.com, filekey77@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email filekey77@tutanota.com or filekey77@cock.li

Обновление от 20 апреля 2019:
Пост на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].com
Записки: FILES ENCRYPTED, Info.hta
Email: decryptoperator@qq.com

Обновление от 22 апреля 2019:
Топик на форуме >>
Сообщение >>
Расширение: .LDPR
Составное расширение: .id-XXXXXXXX.[mr.crypt@aol.com].LDPR
Записки: FILES ENCRYPTED, Info.hta
Email: mr.crypt@aol.com, one.crypt@aol.com
Файл: notepad.exe
Результаты анализов: VT

➤ Содержание записки Info.hta:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail mr.crypt@aol.com

Write this ID in the title of your message DAE69***

In case of no answer in 24 hours write us to theese e-mails:one.crypt@aol.com

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

https://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

•Do not rename encrypted files.

•Do not try to decrypt your data using third party software, it may cause permanent data loss.

•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 22 апреля 2019:
Топик на фоуме >>
Расширение: .[f-data@protonmail.com]
Составное расширение: .id-XXXXXXXX.[f-data@protonmail.com]
Записки: FILES ENCRYPTED, Info.hta
Email: f-data@protonmail.com, helpfile@rape.lol

Обновление от 27 апреля 2019:
Расширение: .com
Составное расширение: .id-XXXXXXXX.[bitcharity@protonmail.com].com
Записки: FILES ENCRYPTED, Info.hta
Email: bitcharity@protonmail.com, tradebitcoin@email.com
Результаты анализов: VT + VMR

Обновление от 28 апреля 2019:
Пост на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[relax@data-safe.me].com
Email: relax@data-safe.me, ctatmulfite@protonmail.com
Записка: files-encrypted.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email relax@data-safe.me or ctatmulfite@protonmail.com

Обновление от 4 мая 2019:
Расширение: .[crypt7@qq.com]
Составное расширение: .id-XXXXXXXX.[crypt7@qq.com]
Записки: FILES ENCRYPTED, Info.hta
Email: crypt7@qq.com, crypt7@tutanota.com

Обновление от 4 мая 2019:
Сообщение >>
Топик на форуме >>
Расширение: .MERS
Составное расширение: .id-XXXXXXXX.[crypt1style@aol.com].MERS
Email: crypt1style@aol.com, crypt1style@keemail.me
Записка: RETURN FILES.txt
Файл: chrome64b.exe
Результаты анализов: VT + VMR

Обновление от 5 мая 2019:
Сообщение >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[idecryptyourdata@cock.li].bat
Составное расширение: .id-XXXXXXXX.[decryptyourdata@qq.com].bat
Email: idecryptyourdata@cock.li, decryptyourdata@qq.com
Результаты анализов: VT + VMR, VT + VMR

Обновление от 6 мая 2019:
Расширение: .qbix
Составное расширение: .id-XXXXXXXX.[backdata@qq.com].qbix
Email: backdata@qq.com
Результаты анализов: VT

Обновление от 6 мая 2019:
Расширение: .aa1
Составное расширение: .id-XXXXXXXX.[who8@mail.fr].aa1
Email: who8@mail.fr
Результаты анализов: VT + VMR

Обновление от 6 мая 2019:
Пост на форуме >>
Расширение: .wal
Составное расширение: .id-XXXXXXXX.[decryptdocs@protonmail.com].wal
Email: decryptdocs@protonmail.com, decryptdocs@airmail.cc
Записки: FILES ENCRYPTED, Info.hta
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email decryptdocs@protonmail.com or decryptdocs@airmail.cc
Результаты анализов: VT

Обновление от 7 мая 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[datadecrypt@qq.com].ETH
Email: datadecrypt@qq.com

Обновление от 7 мая 2019:
Пост на форуме >>
Расширение: .[decryptoperator@qq.com]
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com]
Email: decryptoperator@qq.com

➤ Содержание txt-записки:

All your data is encrypted!

for return write to mail:

decryptoperator@qq.com

Обновление от 7-8 мая 2019:
Пост на форуме >>
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[yaya2018@cock.email].combo
Email: yaya2018@cock.email

Обновление от 8 мая 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[Enigma1crypt@aol.com].ETH
Записки: FILES ENCRYPTED, Info.hta
Email: Enigma1crypt@aol.com
Использует ESET AV Remover.
Файл EXE: Defender.exe
Установщик ESET AV Remover будет автоматически запущен после запуска самораспаковывающегося архива, отвлекая собой внимание жертвы, пока шифровальщик Dharma шифрует файлы в фоновом режиме.
Результаты анализов: VT + AR

🎥 Видеообзор >>
Подробная статья об этом варианте >>

Обновление от 11 мая 2019:
Сообщение >>
Расширение: .qbtex
Составное расширение: .id-XXXXXXXX.[1btc@decryption.biz].qbtex
Email: 1btc@decryption.biz
Результаты анализов: VT + VMR

Обновление от 11 мая 2019:
Сообщение >>
Расширение: .yG
Составное расширение: .id-XXXXXXXX.[sysadmin@mail.fr].yG
Email: sysadmin@mail.fr
Результаты анализов: VT + VMR

Обновление от 12 мая 2019:
Расширение: .com
Составное расширение: .id-XXXXXXXX.[bleeparity@protonmail.com].com
Email: bleeparity@protonmail.com

Обновление от 13 мая 2019:
Сообщение >>
Расширение: .drweb
Составное расширение: .id-XXXXXXXX.[dr.web24@aol.com].yG
Email: dr.web24@aol.com
Результаты анализов: VT + VMR

Обновление от 14 мая 2019:
Сообщение >>
Расширение: .jack
Составное расширение: .id-XXXXXXXX.[lockhelp@qq.com].jack
Email: lockhelp@qq.com
Результаты анализов: VT + VMR
---
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[adolfhackler@tutanota.com].PLUT
Email: adolfhackler@tutanota.com
Результаты анализов: VT + VMR

Обновление от 15 мая 2019:
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].com
Email: decryptoperator@qq.com

Обновление от 15 мая 2019:
Расширение: .DDOS
Составное расширение: .id-XXXXXXXX.[decripted@cock.li].DDOS
Email: decripted@cock.li
Результаты анализов: VT + VMR

Обновление от 16 мая 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[DonovanTudor@aol.com].bat
Email: DonovanTudor@aol.com

Обновление от 16 мая 2019:
Сообщение >>
Расширение: .cry
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].cry
Email: decryptoperator@qq.com
Результаты анализов: VT + VMR

Обновление от 16 мая 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[beam@firemail.cc].ETH
Email: beam@firemail.cc
Файо EXE: crysis_chk16may19.exe
Результаты анализов: VT + AR

Обновление от 17 мая 2019:
Сообщение >>
Расширение: .4k
Составное расширение: .id-XXXXXXXX.[rocosmon@cock.li].4k
Email: rocosmon@cock.li
Результаты анализов: VT + VMR

Обновление от 17 мая 2019:
Топик на форуме >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dalanso@aol.com].bat
Email: dalanso@aol.com

Обновление от 18 мая 2019:
Топик на форуме >>
Расширение: .888
Составное расширение: .id-XXXXXXXX.[backdata888@mail.fr].888
Email: backdata888@mail.fr

Обновление от 19 мая 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[luxsoft@tutanota.com].bat
Email: luxsoft@tutanota.com

Обновление от 20 мая 2019:
Сообщение >>
Расширение: .TOR13
Email: chanelcrypt@aol.com
Результаты анализов: VT

Обновление от 25 мая 2019:
Сообщение >>
Расширение: .qbx
Составное расширение: .id-XXXXXXXX.[btcdecoding@qq.com].qbx
Записка: RETURN FILES.txt
Email: btcdecoding@qq.com

Обновление от 28 мая 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[vombombom@cock.li].beets
Записка:
Email: vombombom@cock.li
Файл EXE: svhost.exe
Результаты анализов: VT + VMR

Обновление от 30 мая 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[WSS911@tutanota.com].harma
Email: WSS911@tutanota.com

Обновление от 3 июня 2019:
Сообщение >>
Расширение: .BSC
Составное расширение: .id-XXXXXXXX.[basecrypt@aol.com].BSC
Записки: FILES ENCRYPTED, Info.hta
Email: basecrypt@aol.com
Файл: reaitek.exe
Результаты анализов: VT + VMR

➤ Содержание записки Info.hta:
All FILES ENCRYPTED "RSA1024"
All YOUR FILES HAVE BEEN ENCRYPTED!!! IF YOU WANT TO RESTORE THEM, WRITE US TO THE E-MAIL basecrypt@aol.com
IN THE LETTER WRITE YOUR ID, YOUR ID 402BA***
IF YOU ARE NOT ANSWERED, WRITE TO EMAIL:basecrypt@aol.com
YOUR SECRET KEY WILL BE STORED ON A SERVER 7 DAYS, AFTER 7 DAYS IT MAY BE OVERWRITTEN BY OTHER KEYS, DON'T PULL TIME, WAITING YOUR EMAIL
FREE DECRYPTION FOR PROOF
You can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
DECRYPTION PROCESS:
When you make sure of decryption possibility transfer the money to our bitcoin wallet. As soon as we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
!WARNING!
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 5 июня 2019:
Расширение: .bat
Составное расширение: .id-62BXXXXX.[altairs35@protonmail.com].bat
Записка: RETURN FILES.txt
Email: altairs35@india.com
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
altairs35@protonmail.com or Altairs35@cock.li

Обновление от 5 июня 2019:
Расширение: .cry
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].cry
Email: decryptoperator@qq.com

Обновление от 5 июня 2019:
Сообщение >>
Расширение: .kjh
Составное расширение: .id-XXXXXXXX.[datareturn@qq.com].kjh
Записка: RETURN FILES.txt
Email: datareturn@qq.com

Обновление от 6 июня 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dkey999@cock.li].bat
Записка: RETURN FILES.txt
Email: dkey999@cock.li

Обновление от 9 июня 2019:
Сообщение >>
Расширение: .zoh
Составное расширение: .id-XXXXXXXX.[restdoc@protonmail.com].zoh
Email: restdoc@protonmail.com
Результаты анализов: VT + VMR

Обновление от 12 июня 2019:
Топик на форуме >>
Расширение: .YG
Составное расширение: .id-XXXXXXXX.[supporthelp@mail.fr].YG
Email: supporthelp@mail.fr

Обновление от 13 июня 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ban.out@foxmail.com].harma
Email: ban.out@foxmail.com

Обновление от 15 июня 2019:
Сообщение >>
Расширение: .HACK
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].HACK
Email: mr.hacker@tutanota.com

Обновление от 16 июня 2019:
Сообщение >>
Топик на форуме >>
Расширение: .0day
Составное расширение: .id-XXXXXXXX.[my0day@aol.com].0day
Записка: RETURN FILES.txt
Email: my0day@aol.com, daysupp@aol.com
Результаты анализов: VT + VMR
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
my0day@aol.com or daysupp@aol.com

Обновление от 16 июня 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[sprt@keemail.me].bat
Email: sprt@keemail.me, support@cock.lu

Обновление от 24 июня 2019:
Сообщение >>
Расширение: .hccapx
Составное расширение: .id-XXXXXXXX.[hccapx@protonmail.com].hccapx
Email: hccapx@protonmail.com
Результаты анализов: VT

Обновление от 24 июня 2019:
Сообщение >>
Расширение: .cap
Составное расширение: .id-XXXXXXXX.[ks20296@email.vccs.edu].cap
Email: ks20296@email.vccs.edu
Результаты анализов: VT

Обновление от 25 июня 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[bigmacbig@cock.li].beets
Записка: RETURN FILES.txt
Email: bigmacbig@cock.li, lablabpub@tutanota.com
Результаты анализов: VT + VMR

Обновление от 25 июня 2019:
Сообщение >>
Расширение: .xxxx
Составное расширение: .id-XXXXXXXX.[decryptxxx@protonmail.com].xxxx
Email: decryptxxx@protonmail.com
Результаты анализов: VT

Обновление от 26 июня 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[savemydata@qq.com].harma
Email: savemydata@qq.com
➤ Содержание записки:
all your data has been locked us
You want to return?
Write email savemydata@qq.com

Обновление от 29 июня 2019:
Сообщение >>
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[MasterLuBu@tutanota.com].PLUT
Записка: RETURN FILES.txt
Email: MasterLuBu@tutanota.com, MasterLuBu@tutanota.cock.li
Результаты анализов: VT + HA + VMR

Обновление от 1 июля 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[bigmacbig@cock.li].beets
Email: bigmacbig@cock.li, lablabpub@tutanova.com
Результаты анализов: VT + JSA

Обновление от 1 июля 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[savemydata@qq.com].harma
Email: savemydata@qq.com
BTC: 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
➤ Содержание ответного письма вымогателей:
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
1. Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your files using third party software, it may cause permanent data loss.
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible.
3. Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
https://bitbay.net https://www.bitquick.co/
https://www.xmlgold.eu/
https://coinmama.com/
https://cex.io/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification. P.S. The easiest way to buy bitcoins in CHINA: https://www.huobi.com/ https://www.bitoex.com/

Обновление от 5 июля 2019:
Сообщение >>
Расширение: .crash
Составное расширение: .id-XXXXXXXX.[ii05635@aol.com].crash
Email: ii05635@aol.com

Обновление от 5 июля 2019:
Топик на форуме >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dkey999@cock.li].bat
Email: dkey999@cock.li

Обновление от 7 июля 2019:
Топик на форуме >>
Расширение: .save
Составное расширение: .id-XXXXXXXX.[seavays@aol.com].save
Email: seavays@aol.com
Результаты анализов: VT

Обновление от 7 июля 2019:
Сообщение >>
Расширение: .php
Составное расширение: .id-XXXXXXXX.[back_me@foxmail.com].php
Email: back_me@foxmail.com
Результаты анализов: VT + VMR
---
Расширение: .dqb
Составное расширение: .id-XXXXXXXX.[btcdecoding@qq.com].dqb
Email: btcdecoding@qq.com
Результаты анализов: VT + VMR

Обновление от 8 июля 2019:
Топик на форуме >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[adm15@protonmail.com].html
Email: adm15@protonmail.com
Записка: RETURN FILES.txt
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
adm15@protonmail.com

Обновление от 8 июля 2019:
Сообщение >>
Расширение: .save
Составное расширение: .id-XXXXXXXX.[seavays@aol.com].save
Email: seavays@aol.com
Результаты анализов: VT + VMR

Обновление от 8 июля 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ban.out@foxmail.com].harma
Записка: RETURN FILES.txt
Email: ban.out@foxmail.com

Обновление от 9 июля 2019:
Сообщение >>
Расширение: .KICK
Составное расширение: .id-XXXXXXXX.[mstr.hacker@protonmail.com].KICK
Email: mstr.hacker@protonmail.com
Результаты анализов: VT + VMR

Обновление от 10 июля 2019:
Сообщение >>
Расширение: .BKP
Составное расширение: .id-XXXXXXXX.[keeky@protonmail.com].BKP
Записки: Info.hta, FILES ENCRYPTED.txt
Email: keeky@protonmail.com

Обновление от 11 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[thebest777@protonmail.ch].html
Записки: Info.hta, FILES ENCRYPTED.txt
Email: thebest777@protonmail.ch
Результаты анализов: VT + VMR

Обновление от 12 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[paydra@cock.li].html
Email: paydra@cock.li
Файл EXE: C:\Windows\System32\ohbdap.exe
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Топик на форуме >>
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[MasterLuBu@tutanota.com].PLUT
Email: MasterLuBu@tutanota.com, MasterLuBu@cock.li
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
MasterLuBu@tutanota.com or MasterLuBu@cock.li

Обновление от 19 июля 2019:
Сообщение >>
Расширение: .USA
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].USA
Записка: FILES ENCRYPTED.txt
Email: mr.hacker@tutanota.com, mrhacker@cock.li
Результаты анализов: VT + VMR

Обновление от 24 июля 2019:
Сообщение >>
Расширение: .com2
Составное расширение: .id-XXXXXXXX.[DonovanTudor@aol.com].com2
Записки: Info.hta, FILES ENCRYPTED.txt
Email: DonovanTudor@aol.com
Результаты анализов: VT

Обновление от 25 июля 2019:
Сообщение >>
Расширение: .Acuf2
Составное расширение: .id-XXXXXXXX.[panama777@tutanota].Acuf2
Записки: Info.hta, FILES ENCRYPTED.txt
Email: panama777@tutanota
Результаты анализов: VT + HA + VMR

Обновление от 25 июля 2019:
Сообщение >>
Расширение: .nqix
Составное расширение: .id-XXXXXXXX.[support@qbmail.biz].nqix
Записки: Info.hta, FILES ENCRYPTED.txt
Email: support@qbmail.biz
Результаты анализов: VT + HA + VMR

Обновление от 27 июля 2019:
Топик на форуме >>
Расширение: .HACK
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].HACK
Email: mr.hacker@tutanota.com
Результаты анализов: VT + HA + VMR

Обновление от 27 июля 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[bitcoin1@foxmail.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: bitcoin1@foxmail.com
Результаты анализов: VT + HA + VMR

Обновление от 27 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[zanzibar65@mail.fr].html
Записки: Info.hta, FILES ENCRYPTED.txt
Email: zanzibar65@mail.fr
Результаты анализов: VT + VMR

Обновление от 30 июля 2019:
Топик на форуме >>
Расширение: .[helpsok@cock.li]
Составное расширение: .id-XXXXXXXX.[helpsok@cock.li]
Email: helpsok@cock.li, helpsok@tutanota.com
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
helpsok@cock.li or helpsok@tutanota.com

Обновление от 3 августа 2019:
Сообщение >>
Расширение: .Q1G
Составное расширение: .id-XXXXXXXX.[getbtc@aol.com].Q1G
Записки: Info.hta, FILES ENCRYPTED.txt
Email: getbtc@aol.com
Результаты анализов: VT + VMR

Обновление от 5 августа 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[The777@tuta.io].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: The777@tuta.io
Результаты анализов: VT + HA + VMR

Обновление от 6 августа 2019:
Сообщение >>
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[<email>].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: Harmahelp73@gmx.de, Harmahelp73@protonmail.com
Файл: E5M99S_payload.exe
Результаты анализов: VT + HA + VMR

Обновление от 19 августа 2019:
Топик на форуме >>
Расширение: .usa
Составное расширение: .id-XXXXXXXX.[usacrypt@aol.com].usa
Email: usacrypt@aol.com

Обновление от 24 августа 2019:
Топик на форуме >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[uncleme@cock.li].pdf
Записки: RETURN FILES.txt
Email: uncleme@cock.li, unlock@decryption.biz
Результаты анализов: VT + HA + VMR
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
uncleme@cock.li or unlock@decryption.biz

Обновление от 25 августа 2019:
Сообщение >>
Расширение: .com2
Составное расширение: id-XXXXXXXX.[DonovanTudor@aol.com].com2
Email: DonovanTudor@aol.com

Обновление от 26 августа 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: id-XXXXXXXX.[decryptbots@cock.li].pdf
Email: decryptbots@cock.li
Файл EXE: invoice.exe
Результаты анализов: VT

Обновление от 27 августа 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Harmahelp73@gmx.de].harma
Email: Harmahelp73@gmx.de

Обновление от 27-30 августа 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: id-XXXXXXXX.[3442516480@qq.com].pdf
Записка: RETURN FILES.txt

➤ Содержание записки:
All your data is encrypted!
for return write to mail:
3442516480@qq.com or 1169309366@qq.com
Email: 3442516480@qq.com
Результаты анализов: VT + AR

Обновление от 26-28 августа 2019:
Топик на форуме >>
Расширение: .group
Составное расширение: .id-XXXXXXXX.[cybergroup1@aol.com].group
Записки: RETURN FILES.txt
Email: cybergroup1@aol.com, cybergroup11@aol.com
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
cybergroup1@aol.com or cybergroup11@aol.com

Обновление от 3 сентября 2019:
Пост на форуме >>
Расширение: .biz
Составное расширение: .id-XXXXXXXX.[support@qbmail.biz].biz
Записка: RETURN FILES.txt
Email: support@qbmail.biz, reservesupport@cock.li
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
support@qbmail.biz or reservesupport@cock.li

Обновление от 4 сентября 2019:
Сообщение >>
Расширение: .MGS
Составное расширение: .id-XXXXXXXX.[mrcrypt@cock.li].MGS
Email: mrcrypt@cock.li
Результаты анализов: VT + VMR

Обновление от 5 сентября 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[vip76@protonmail.com].html
Email: vip76@protonmail.com, vip76@@cock.li
Записки: RETURN FILES.txt, Info.hta
Результаты анализов: VT + VMR

Обновление от 5 сентября 2019:
Сообщение >>
Расширение: .cmd
Составное расширение: .id-XXXXXXXX.[fox5sec@aol.com].cmd
Email: fox5sec@aol.com, sec5fox@aol.com
Записка: FILES ENCRYPTED.txt
Файл: agent1c.exe
Результаты анализов: VT + AR

Обновление от 12 сентября 2019:
Сообщение >>
Составное расширение: .id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Email: veracrypt@foxmail.com
Результаты анализов: VT + HA + IA

Обновление от 13 сентября 2019:
Топик на форуме >>
Расширение: ???
Составное расширение: .id-XXXXXXXX.[dalanso@aol.com].*
Email: dalanso@aol.com

Обновление от 13 сентября 2019:
Сообщение >>
Расширение: .RSA
Составное расширение: .id-XXXXXXXX.[rsa1024@tutanota.com].RSA
Email: rsa1024@tutanota.com
Результаты анализов: VT

Обновление от 14 сентября 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Harmahelp73@gmx.de].harma
Email: Harmahelp73@gmx.de, Harmahelp73@protonmail.com
Записка: FILES ENCRYPTED.txt + HTA-записка
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email Harmahelp73@gmx.de or Harmahelp73@protonmail.com

Обновление от 15 сентября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Email: 3442516480@qq.com, 1169309366@qq.com
Записка: RETURN FILES.txt
Результаты анализов: VT + VMR

Обновление от 16 сентября 2019:
Сообщение >>
Сообщение >>
Расширение: .ebola
Составное расширение: .id-XXXXXXXX.[newebola@aol.com].ebola
Email: newebola@aol.com
Результаты анализов: VT + AR + VMR

Обновление от 17 сентября 2019:
Сообщение >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[cmdroot@airmail.cc].money
Email: cmdroot@airmail.cc
Результаты анализов: VT + VMR

Обновление от 18 сентября 2019:
Сообщение >>
Расширение: .KARLS
Составное расширение: .id-XXXXXXXX.[karlosdecrypt@outlook.com].KARLS
Email: karlosdecrypt@outlook.com
Записка: FILES ENCRYPTED.txt + HTA-записка
Результаты анализов: VT + AR + AR

Обновление от 28 сентября 2019:
Сообщение >>
Расширение: .VIVAL
Составное расширение: .id-XXXXXXXX.[vivaldicrypt@outlook.com].VIVAL
Email: vivaldicrypt@outlook.com
Результаты анализов: VT

Обновление от 4 октября 2019:
Сообщение >>
Расширение: .CASH
Составное расширение: .id-XXXXXXXX.[cryptocash@aol.com].CASH
Записки: FILES ENCRYPTED.txt, Info.hta
Email: cryptocash@aol.com
Результаты анализов: VT

Обновление от 8 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@stex777.com].money

Email: admin@stex777.com

Результаты анализов: VT + AR + VMR

Обновление от 11 октября 2019:

Сообщение >>

Расширение: .KRAB

Составное расширение: .id-XXXXXXXX.[Blackmax@tutanota.com ].KRAB

Email: Blackmax@tutanota.com

Результаты анализов: VT

Обновление от 12 октября 2019:
Сообщение >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@fentex.net].money
Записки: Info.hta, FILES ENCRYPTED.txt
Email: admin@fentex.net, admin@fentex.world
Результаты анализов: VT

Обновление от 16 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[keyhelp@cock.li].money
Email: keyhelp@cock.li

Обновление от 15 октября 2019:
Сообщение >>
Расширение: .oo7
Составное расширение: .id-XXXXXXXX.[b1tc01n@aol.com].oo7
Email: b1tc01n@aol.com
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT

Обновление от 17 октября 2019:
Сообщение >>
Расширение: .uta
Составное расширение: .id-XXXXXXXX.[jacklee@airmail.cc].uta
Email: jacklee@airmail.cc
Результаты анализов: VT + AR

Обновление от 17 октября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[nmode@tutanota.com].bot
Email: nmode@tutanota.com
Результаты анализов: VT + VMR

Обновление от 18 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@fentex.net].money
Email: admin@fentex.net

Обновление от 20 октября 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[MerlinWebster@aol.com].harma
Email: MerlinWebster@aol.com

Обновление от 20 октября 2019:
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt
Email: bitlocker@foxmail.com
Результаты анализов: VT + VMR
➤ Содержание записки Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail bitlocker@foxmail.com
Write this ID in the title of your message 965*****
In case of no answer in 24 hours write us to theese e-mails:bitlocker@foxmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
• Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 21 октября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ecnrypt98@cock.li].harma
Email: ecnrypt98@cock.li
Результаты анализов: VT + AR

Обновление от 22 октября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .PBD
Составное расширение: .id-XXXXXXXX.[paybuyday@aol.com].PBD
Email: paybuyday@aol.com
Результаты анализов: VT + VMR

Обновление от 24 октября 2019:
Пост на форуме >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@stex777.com].money
Email: admin@stex777.com, admin@stex777.xyz
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email admin@stex777.com or admin@stex777.xyz

Обновление от 24 октября 2019:
Сообщение >>
Расширение: .one
Составное расширение: .id-XXXXXXXX.[back_me@foxmail.com].one
Email: back_me@foxmail.com
Результаты анализов: VT + VMR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[gillian.cher@aol.com].harma
Email: gillian.cher@aol.com
Результаты анализов: VT + VMR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Email: 3442516480@qq.com
Результаты анализов: VT + VMR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[recoverysql@protonmail.com].bot
Записка: Info.hta
Email: recoverysql@protonmail.com, recoverysql@cock.li
Результаты анализов: VT + HA

Обновление от 26 октября 2019:
Пост на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[vite.mcclatchie@aol.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: vite.mcclatchie@aol.com, dewitt.foxcroft@aol.com
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
Write email vite.mcclatchie@aol.com or dewitt.foxcroft@aol.com

Обновление от 27 октября 2019:
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Email: bitlocker@foxmail.com
Результаты анализов: VT + AR

Обновление от 29 октября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .xda
Составное расширение: .id-XXXXXXXX.[fullrestore@qq.com].xda
Email: fullrestore@qq.com
Результаты анализов: VT

Обновление от 30 октября 2019:
Сообщение >>
Расширение: .asus
Составное расширение: .id-XXXXXXXX.[DataBack@qbmail.biz].asus
Email: DataBack@qbmail.biz
Результаты анализов: VT + VMR

Обновление от 30 октября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Email: admin@sectex.net
Результаты анализов: VT + VMR + AR / VT + AR (28-11-19)

Обновление от 31 октября 2019:
Топик на форуме >>
Расширение: .wiki
Составное расширение: .id-B0XXXXXX.[bitlocker@foxmail.com ].wiki
Email: bitlocker@foxmail.com
Результаты анализов: VT + AR

Обновление от 31 октября 2019:
Сообщение >>
Расширение: .start
Составное расширение: .id-XXXXXXXX.[starter@cumallover.me].start
Email: starter@cumallover.me
Результаты анализов: VT + VMR

Обновление от 3 ноября 2019:
Сообщение >>
Расширение: .VIRUS
Составное расширение: .id-XXXXXXXX.amandacerny89@aol.com
Email: amandacerny89@aol.com
Результаты анализов: VT + VMR

Обновление от 3 ноября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Email: admin@sectex.net
Результаты анализов: VT + VT

Обновление от 4 ноября 2019:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[fire_show@tuta.io].adobe
Email: fireshow@cock.li, fire_show@tuta.io
Результаты анализов: VT + VMR

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt
Email: bitlocker@foxmail.com
Результаты анализов: VT + IA

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Результаты анализов: VT + IA + VMR

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[marjut56@cock.li].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: marjut56@cock.li, marjut65@tutanota.com
Результаты анализов: VT + AR

Обновление от 6 ноября 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-DEDXXXXX.[writehere@onlinehelp.host ].harma
Email: writehere@onlinehelp.host

Обновление от 6-12 ноября 2019:

Сообщение >>
Сообщение >>

Расширение: .rsa

Составное расширение: .id-XXXXXXXX.[rsacrypt@aol.com].rsa

Email: rsacrypt@aol.com

Результаты анализов: VT + AR

Обновление от 6 ноября 2019:

Сообщение >>

Расширение: .RSA

Составное расширение: .id-XXXXXXXX.[rsa1024@tutanota.com].RSA

Email: rsa1024@tutanota.com

Результаты анализов: VT + VMR

Обновление от 8 ноября 2019:
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt
Email: bitlocker@foxmail.com
Результаты анализов: VT + VMR + AR

Обновление от 11 ноября 2019:
Сообщение >>
Расширение: .kr
Составное расширение: .id-XXXXXXXX.[blablacar@airmail.cc].kr
Записки: Info.hta, FILES ENCRYPTED.txt
Email: blablacar@airmail.cc
Результаты анализов: VT + VMR

Обновление от 12 ноября 2019:
Сообщение >>
Расширение: .ninja
Составное расширение: .id-XXXXXXXX.[ninja777@cock.li].ninja
Email: ninja777@cock.li
Результаты анализов: VT

Обновление от 13 ноября 2019:
Пост на форуме >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[veerafa@airmail.cc].bot
Email: veerafa@airmail.cc
Результаты анализов: VT + VMR

Обновление от 15 ноября 2019:
Сообщение >>
Расширение: .SySS
Составное расширение: .id-XXXXXXXX..[syspentest@aol.com].SySS
Email: syspentest@aol.com
Результаты анализов: VT

Обновление от 18 ноября 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[maximum@onlinehelp.host ].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: maximum@onlinehelp.host
Результаты анализов: VT

Обновление от 20 ноября 2019:
Топик на форуме >>
Расширение: .abc
Составное расширение: .id-XXXXXXXX.[jackadams@airmail.cc].abc
Email: jackadams@airmail.cc
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT + HA

Обновление от 22 ноября 2019:
Топик на форуме >>
Расширение: .2048
Составное расширение: .id-XXXXXXXX.[rsa2048@cock.li].2048
Email: rsa2048@cock.li, 2048rsa@tutanota.com
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT + HA
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email rsa2048@cock.li or 2048rsa@tutanota.com

Обновление от 27 ноября 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[backdata.company@aol.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt
Email: backdata.company@aol.com
Файл: exec.exe
Результаты анализов: VT + IA + AR

Обновление от 28 ноября 2019:
Сообщение >>
Расширение: .bitx
Составное расширение: .id-XXXXXXXX.[1btc@qbmail.biz].bitx
Email: 1btc@qbmail.biz
Результаты анализов: VT

Обновление от 28 ноября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Записки: Info.hta, FILES ENCRYPTED.txt
Email: admin@sectex.net, admin@sectex.world
Результаты анализов: VT + AR

---
Другие варианты с расширением: .bot
.[catchbtc797@protonmail.com].bot
.[grdoks@tutanota.com].bot
.[nmode@tutanota.com].bot
Другие email:
catchbtc797@protonmail.com
grdoks@tutanota.com
nmode@tutanota.com, nmodes@aol.com

Обновление от 29 ноября 2019:
Сообщение >>
Расширение: .IMI
Составное расширение: .id-XXXXXXXX.[imdecrypt@aol.com].IMI
Email: imdecrypt@aol.com
Результаты анализов: VT + VMR

Обновление от 1 декабря 2019:
Расширение: ???
Составное расширение: .id-XXXXXXXX.[keyfiles@cock.li].???
Email: keyfiles@cock.li, keyfiles@tutanota.com

Обновление от 1 декабря 2019:
Расширение: .IMI
Составное расширение: .id-XXXXXXXX.[imdecrypt@aol.com].IMI
Email: imdecrypt@aol.com

Обновление от 4 декабря 2019:
Сообщение >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[helpnetin@protonmail.com].com
Email: helpnetin@protonmail.com
Результаты анализов: VT + AR

Обновление от 8 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@datastex.club].ROGER
Malware-URL: xxxp://185.222.202.218/sky/dmx777.exe
Записки: Info.hta, FILES ENCRYPTED.txt

Email: admin@datastex.club
Результаты анализов: VT
Новые обнаружения:
DrWeb -> Trojan.Siggen8.61573
BitDefender -> Trojan.GenericKD.32788366
Kaspersky -> Trojan-Ransom.Win32.Crusis.dym
Symantec -> Ransom.Crysis
ALYac -> Trojan.Ransom.Crysis

Обновление от 10 декабря 2019:
Сообщение >>
Расширение: .asd
Составное расширение: .id-XXXXXXXX.[asdbtc@aol.com].asd
Записки: Info.hta, FILES ENCRYPTED.txt
Email: asdbtc@aol.com
Файл: chk_crysis_10_dec_19.exe
Результаты анализов: VT + AR + VMR

Обновление от 12 декабря 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[MerlinWebster@aol.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: MerlinWebster@aol.com
Файл: Statement.exe
Результаты анализов: VT

Обновление от 21 декабря 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[manyfiles@aol.com].harma
Email: manyfiles@aol.com

Обновление от 22 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@spacedatas.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt
Email: admin@spacedatas.com
Результаты анализов: VT
Новые обнаружения:
DrWeb -> Trojan.Encoder.30407
BitDefender -> Gen:Variant.Graftor.693657
Malwarebytes -> Ransom.Crysis
ALYac -> Trojan.Ransom.Crysis
Symantec -> ML.Attribute.HighConfidence

Обновление от 23 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@spacedatas.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt

Email: admin@spacedatas.com
Файлы: dmx777.exe, ContinuumLoosely.exe
Результаты анализов: VT + VMR + AR
Новые обнаружения:
DrWeb -> Trojan.Encoder.30407
BitDefender -> Trojan.GenericKD.32842449

Обновление от 27 декабря 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[whitwellparke@aol.com].harma
Email: whitwellparke@aol.com, dewitt.foxcroft@aol.com
Файл: shaofao.exe
Результаты анализов: VT

Обновление от 30 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[anna.kurtz@protonmail.com].ROGER
Email: anna.kurtz@protonmail.com
Результаты анализов: VT + HA + AR

=== 2020 ===

Обновление от 2 января 2020:
Сообщение >>
Расширение: .RIDIK
Составное расширение: .id-XXXXXXXX.[recoverysql@trotonmail.com].RIDIK
Email: recoverysql@trotonmail.com

Обновление от 5 января 2020:

Топик на форуме >>

Расширение: .ROGER

Составное расширение: .id-XXXXXXXX.[santacrypt@aol.com].ROGER

Email: santacrypt@aol.com

Обновление от 6 января 2020:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[cryptor6@tutanota.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: cryptor6@tutanota.com, filemgr@tutanota.com

Обновление от 8 января 2020:
Топик на форуме >>
Расширение: .1BTC
Составное расширение: .id-XXXXXXXX.[BTC@decoding.biz].1BTC
Email: BTC@decoding.biz, Btcdecoding@foxmail.com
Записка: RETURN FILES.txt
➤ Содержание txt-записки:
All your data is encrypted!
for return write to mail:
BTC@decoding.biz or Btcdecoding@foxmail.com

Обновление от 9 января 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[decrypt@files.mn].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt
Email: decrypt@files.mn
Результаты анализов: VT

Обновление от 10 января 2020:
Расширение: .blend
Составное расширение: .id-XXXXXXXX.[helips@protonmail.com].blend
Email: helips@protonmail.com
Результаты анализов: VT + AR

Обновление от 15 января 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[testfile1@protonmail.com].harma
Email: testfile1@protonmail.com

Обновление от 18 января 2020:
Топик на форуме >>
Сообщение >>
Расширение: .LIVE
Составное расширение: .id-XXXXXXXX.[cryptlive@aol.com].LIVE
Записки: Info.hta, FILES ENCRYPTED.txt
Email: cryptlive@aol.com
Файл: winhost.exe
Результаты анализов: VT
➤ Содержание txt-записки:
YOUR FILES ARE ENCRYPTED
Don`t worry, you can return all your files!
If you want restore them, follow this link: email cryptlive@aol.com YOUR ID XXXXXXXX
If you have not been answered via link within 12 hours, write to us by e-mail:
cryptlive@aol.com
---

➤ Ответное письмо вымогателей:
Welcome to CryptLive Support..
If you contacted us, most likely you need a decryption of files. We are ready to help you !
The cost of decrypting files is $ 1299. We accept payment at Bitcoin box office.
If you make payment within 24 hours after the first contact with us, you will be given a 15% discount. As a guarantee that we have a tool for decrypting data, you can send us 1 encrypted file up to 10 MB in size.
The decryption process is automated.
This happens as follows:
After receiving payment from you, a program is sent to scan your files. After the scan is completed, a code will be assigned to the program, you will send us this code - then we will send you a response code to decrypt the data.
Crypt live
cryptlive@aol.com
---

Обновление от 20 января 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[Myfilesback@aol.com].ROGER
Email: myfilesback@aol.com, filesback@tutanota.com.
➤ Содержание txt-записки:
all your data has been locked us
Do you want to return?
write myfilesback@aol.com or filesback@tutanota.com.

Обновление от 22 января 2020:
Сообщение >>
Расширение: .NEWS
Составное расширение: .id-XXXXXXXX.[notgoodnews@tutanota.com].NEWS
Записки: Info.hta, FILES ENCRYPTED.txt
Email: notgoodnews@tutanota.com, notgoodnews@cock.li
Результаты анализов: VT + AR + VMR

Обновление от 25-26 января 2020:
Топик на форуме >>
Сообщение >>
Расширение: .wrar
Составное расширение: .id-XXXXXXXX.[supp37@cock.li].wrar
Записки: Info.hta, FILES ENCRYPTED.txt
Email: supp37@cock.li
Файл: xxx.exe
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Обновление от 27 января 2020:
Сообщение >>
Расширение: .2NEW
Составное расширение: .id-XXXXXXXX.[new2crypr@aol.com].2NEW
Email: new2crypt@aol.com, 2new2crypt@aol.com
Записка: FILES ENCRYPTED.txt

Обновление от 26 января 2020:
Топик на форуме >>
Расширение: .CU
Составное расширение: .id-XXXXXXXX.[cyberunion@tuta.io].CU
Записки: Info.hta, FILES ENCRYPTED.txt
Email: cyberunion@tuta.io, cyberunionn@protonmail.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email cyberunion@tuta.io or cyberunionn@protonmail.com

Обновление от 29 января 2020:
Пост на форуме >>
Расширение: .MSH
Составное расширение: .id-XXXXXXXX.[magicswordhero@aol.com].MSH
Email: magicswordhero@aol.com
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email magicswordhero@aol.com

Обновление от 29-30 января 2019:
Сообщение >>
Топик на форуме >>
Расширение: .R2D2
Составное расширение: .id-XXXXXXXX.[1024back@tuta.io].R2D2
Записки: Info.hta, FILES ENCRYPTED.txt
Email: 1024back@tuta.io
Результаты анализов: VT

Обновление от 12 февраля 2020:
Расширение: .crown
Составное расширение: .id-XXXXXXXX.[crown_desh@aol.com].crown
Записка: FILES ENCRYPTED.txt
Email: crown_desh@aol.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email crown_desh@aol.com

Обновление от 12 февраля 2020:
Пост на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[devil98@tutanota.com].harma
Email: devil98@tutanota.com

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .WHY
Составное расширение: .id-XXXXXXXX.[mr.crypteur@protonmail.com].WHY
Email: mr.crypteur@protonmail.com
Результаты анализов: VT + VMR + IA

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .NEWS
Составное расширение: .id-XXXXXXXX.[notgoodnews@tutanota.com].NEWS
Email: notgoodnews@tutanota.com
Результаты анализов: VT + VMR

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .LIVE
Составное расширение: .id-XXXXXXXX.[cryptlive@aol.com].LIVE
Email: cryptlive@aol.com
Результаты анализов: VT + VMR

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .Z9
Составное расширение: .id-XXXXXXXX.[help.me24@protonmail.com].Z9
Email: help.me24@protonmail.com
Результаты анализов: VT + VMR

Обновление от 14 февраля 2020:
Сообщение >>
Сообщение >>
Сообщение >>
Расширение: .ncov
Составное расширение: .id-XXXXXXXX.[coronavirus@qq.com].ncov
Записки: Info.hta, FILES ENCRYPTED.txt
Email: coronavirus@qq.com
Известные файлы: winhost.exe, 1corona.exe
На файле написано: Compass или что-то другое.
Результаты анализов: VT + HA + AR + IA

Обновление от 15 февраля 2020:
Сообщение >>
Сообщение >>
Расширение: .self
Составное расширение: .id-XXXXXXXX.[black@gytmail.com].self
Email: black@gytmail.com
Результаты анализов: VT + VMR + AR

Обновление от 16-18 февраля 2020:
Топик на форуме >>
Сообщение >>
Расширение: .PAY
Составное расширение: .id-XXXXXXXX.[decrypt@qbmail.biz].PAY
Записки: Info.hta, FILES ENCRYPTED.txt
Email: decrypt@qbmail.biz, bitdecrypt@cock.li
Результаты анализов: VT + VMR

Обновление от 18 февраля 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[krastoken@gmail.com].ROGER
Email: krastoken@gmail.com
Результаты анализов: VT

Обновление от 20 февраля 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[harma277@gmx.de].harma
Email: harma277@gmx.de

Обновление от 20 февраля 2020:
Топик на форуме >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[antiransomware@aol.com].ROGER
Email: antiransomware@aol.com

Обновление от 24 февраля 2020:
Расширение: .NcOv
Составное расширение: .id-XXXXXXXX.[ncov2020@aol.com].NcOv
Email: ncov2020@aol.com
Результаты анализов: VT + VMR

Обновление от 26 февраля 2020:
Сообщение >>
Расширение: .PLEX
Составное расширение: .id-XXXXXXXX.[dryidik@tutanota.com].PLEX
Email: dryidik@tutanota.com
Результаты анализов: VT

Обновление от 26 февраля 2020:
Расширение: .ROGER
Email-1: wang.chang888@tutanota.com
Email-2: wang.chang.team.888@protonmail.com

Обновление от 26 февраля 2020:
Сообщение >>
Расширение: .YKUP
Составное расширение: .id-XXXXXXXX.[ykup@tutanota.com].YKUP
Email: ykup@tutanota.com

Обновление от 27 февраля 2020:
Сообщение >>
Расширение: .8800
Составное расширение: .id-XXXXXXXX.[assonmolly5@gmail.com].8800
Записки: Info.hta, FILES ENCRYPTED.txt
Email: assonmolly5@gmail.com, helpkey@tutamail.com, andrewseals560@gmail.com
Результаты анализов: VT + AR

Обновление от 3 марта 2020:
Сообщение >>
Расширение: .rxx
Составное расширение: .id-XXXXXXXX.[back_data@foxmail.com].rxx
Email: back_data@foxmail.com
Результаты анализов: VT + VMR

Обновление от 6 марта 2020:
Сообщение >>
Расширение: .GTF
Составное расширение: .id-XXXXXXXX.[grandtheftfiles@aol.com].GTF
Email: grandtheftfiles@aol.com
Результаты анализов: VT + VMR

Обновление от 10 марта 2020:
Сообщение >>
Расширение: .Mark
Составное расширение: .id-XXXXXXXX.[mark_white@mail.ua].Mark
Email: mark_white@mail.ua
Результаты анализов: VT + VMR

Обновление от 12 марта 2020:
Расширение: .HARMA
Составное расширение: .id-XXXXXXXX.[MrRdx@cock.li].HARMA
Записки: Info.hta, FILES ENCRYPTED.txt
Email: MrRdx@cock.li, MrRDX@protonmail.com
➤ Содержание записки:
all your data has been locked us
You want to return?
Write email MrRdx@cock.li or MrRDX@protonmail.com

Обновление от 14 марта 2020:
Сообщение >>
Расширение: .IPM
Составное расширение: .id-XXXXXXXX.[Decoding@qbmail.biz].IPM
Записки: Info.hta, FILES ENCRYPTED.txt
Email: Decoding@qbmail.biz, Cost1BTC@protonmail.com
Результаты анализов: VT + VMR
➤ Содержание записки:
all your data has been locked us
You want to return?
write email Decoding@qbmail.biz or Cost1BTC@protonmail.com

Обновление от 17 марта 2020:
Сообщение >>
Расширение: .ONION
Составное расширение: .id-XXXXXXXX.[onioncrypt@aol.com].ONION
Email: onioncrypt@aol.com, onion@nigge.rs
➤ Содержание записки:
all your data has been locked us
You want to return?
write email onioncrypt@aol.com or onion@nigge.rs

Обновление от 18 марта 2020:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[fooox1@protonmail.com].ROGER
Email: ooox1@protonmail.com, fooox2@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email fooox1@protonmail.com or fooox2@cock.li

Обновление от 19 марта 2020:
Сообщение >>
Расширение: .LX
Составное расширение: .id-XXXXXXXX.[help.crypt@aol.com].LX
Email: help.crypt@aol.com
Результаты анализов: VT

Обновление от 20 марта 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[Thomaskey@cock.li].ROGER
Email: Thomaskey@cock.li
Записка: FILES ENCRYPTED.txt

Обновление от 21 марта 2020:
Расширение: .N3
Составное расширение: .id-XXXXXXXX.[neuromanix@aol.com].N3
Email: neuromanix@aol.com, neuromanix@tuta.io
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email neuromanix@aol.com or neuromanix@tuta.io

Обновление от 28 марта 2020:
Расширение: .2020
Составное расширение: .id-XXXXXXXX.[btckeys@aol.com].2020
Email: btckeys@aol.com
Результаты анализов: VT + VMR

Обновление от 28 марта 2020:
Статья от Comodo >>
Они рассказывают о некой версии Dharma 2.0, которой на самом деле не существует.
Вымогатели лишь кое-что добавили, не меняя сам шифровальщик.

Обновление от 3 апреля 2020:
Сообщение >>
Расширение: .MSPLT
Составное расширение: .id-XXXXXXXX.[supermetasploit@aol.com].MSPLT
Email: supermetasploit@aol.com, supermetasploit@cock.li
Результаты анализов: VT + VMR

Обновление от 3 апреля 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Theransom@tutanota.com].harma
Email: Theransom@tutanota.com

Обновление от 22 апреля 2020 или ранее:
Сообщение >>
Расширение: .love$
Составное расширение: .id-XXXXXXXX.[im.online@aol.com].love$
Записки: FILES ENCRYPTED.txt и Info.hta
Email: im.online@aol.com, onlineim@hitler.rocks
Результаты анализов: VT + VMR

Содержание hta-записки:
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!
If you want to restore them, follow this link:email im.online@aol.com YOUR ID FA74D862
If you have not been answered via the link within 12 hours, write to us by e-mail:onlineim@hitler.rocks
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---
Содержание txt-записки:
all your data has been locked us
You want to return?
write email im.online@aol.com or onlineim@hitler.rocks
---

Обновление от 5 мая 2020:

Сообщение >>

Расширение: .ROGER

Составное расширение: .id-XXXXXXXX.[anna_adm1n@aol.com].ROGER

Записки: FILES ENCRYPTED.txt, Info.hta

Email: anna_adm1n@aol.com, anna_adm1n@protonmail.com

Обновление от 18 мая 2020:

Расширение: .BANG

Составное расширение: .id-XXXXXXXX.[gangflsbang@protonmail.ch].BANG

Записки: FILES ENCRYPTED.txt, Info.hta

Email: gangflsbang@protonmail.ch, gangflsbang@cock.li

1 июня 2020:
Расширение: .dr
Составное расширение: .id-XXXXXXXX.[dr.decrypt@aol.com].dr
Email: dr.decrypt@aol.com, dr.decrypt01@aol.com
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email dr.decrypt@aol.com or dr.decrypt01@aol.com

3 июня 2020:
.id-XXXXXXXX.[admin@steldatas.com].club

4 июня 2020:
xxxxs://twitter.com/Emm_ADC_Soft/status/1268571566218018817
.id-XXXXXXXX.[openpgp@foxmail.com].pgp
Результаты анализов: VT + IA

5-7 июня:

xxxxs://twitter.com/JakubKroustek/status/1268659479001907200

.[hitsbtc@tuta.io].FRM

VT: 70e79b7ff94bb406f6d757032702926f

---

xxxxs://twitter.com/JakubKroustek/status/1268659743083696128

.[wecanhelpu@tuta.io].wch

VT: ba7eac3f2e1f129d5201bee2abc1b850

---

xxxxs://twitter.com/JakubKroustek/status/1268660011787530240

.[admin@stelsdatas.com].club

VT: 817824ea87eea5d877fae562cfa8341d

Записка: FILES ENCRYPTED.txt, Info.hta с пиратской темой

Email: admin@stelsdatas.com, admin@stelsdatas.club

12 июня:

xxxxs://twitter.com/JakubKroustek/status/1271331234204049408

xxxxs://twitter.com/raby_mr/status/1271343303829581831
.id-XXXXXXXX.[cavefat@tuta.io].HCK
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

12 июня:

.id-XXXXXXXX.[Recovery@qbmail.biz].credo

Записки: FILES ENCRYPTED.txt, Info.hta

16 июня:

xxxxs://twitter.com/demonslay335/status/1272627310554988546

.id-XXXXXXXX.[r3ad4@aol.com].r3f5s

---

xxxxs://twitter.com/fbgwls245/status/1273239012451340290

.id-XXXXXXXX.[savebase@aol.com].base

Email: savebase@aol.com, savebase@420blaze.it

VT: 6b873b618cc8ee379862d1709e862780

23-25 июня:

xxxxs://twitter.com/demonslay335/status/1275447391093551105

.id-XXXXXXXX.[teamVI@protonmail.com].team

---

xxxxs://twitter.com/fbgwls245/status/1276356052125011974

.id-XXXXXXXX.[Recovery@qbmail.biz].credo

VT: 23225afa88a61b262ee6bfe8a0b0b9bb

28 июня:

xxxxs://twitter.com/JakubKroustek/status/1277041426367463424

.id-XXXXXXXX.[lxhlp@protonmail.com].lxhlp

VT: 692b0126d5841e66414914c8a73bdf71

17 июля:
Пост на форуме >>
Расширение: .prnds
Email: prndssdnrp@mail.fr

19 июля:
Сообщение >>
Расширение: .HAT
Email: Zagrec@protonmail.com
Результаты анализов: VT

24 июля:
Сообщение >>
Расширение: .PPHL
Email: pvphlp@tutanota.com
Результаты анализов: VT + VMR

29 июля:
Сообщение >>
Расширение: .tcprx
Email: tcprx@tutanota.com
Результаты анализов: VT + VMR

30 июля:
Сообщение >>
Расширение: .mnbzr
Email: trfgklmbvzx@aol.com
Результаты анализов: VT + VMR

31 июля:
Сообщение >>
Расширение: .LOG
Email: Logan8833@aol.com
Результаты анализов: VT

3 августа:
Сообщение >>
Расширение: .1dec
Email: gocrypt@aol.com
Результаты анализов: VT

4 августа:
Сообщение >>
Расширение: .WEEK
Email: week1@tuta.io

10 августа:
Сообщение >>
Сообщение >>
Расширение: .xati
Email: xatixxatix@mail.fr
Результаты анализов: VT
---
Сообщение >>
Расширение: .data
Email: recoverydata@qbmail.biz
Результаты анализов: VT + VMR + HA

10 августа:
Сообщение >>
Расширение: .GET
Email: getscoin2@protonmail.com
Результаты анализов: VT

13 августа:
Сообщение >>
Расширение: .harma
Email: HarmaENC@Cock.li
Результаты анализов: VT
---
Сообщение >>
Расширение: .tcprx
Email: tcprx@cock.li
Результаты анализов: VT

14 августа:
Сообщение >>
Возможно, что это отдельная группа или другие вымогатели.

Telegram: t.me/spacedatax
Email: spacedatax@gmail.com ?
Tor-URL: xxxx://dj55huaqbbsnhwngb5rgeq65ns3nteyon7wlp32gkamzs3k2ogrdr5qd.onion/
Тот же контакт в Telegram используется в атаках с LockBit Ransomware (скриншот справа).

15 августа:
Сообщение >>
Расширение: .Back
Email: Backdata@zimbabwe.su
Результаты анализов: VT

18 августа:
Пост на форуме >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[telegram_@spacedatax].ROGER
Tor-URL: http://dj55huaqbbsnhwngb5rgeq65ns3nteyon7wlp32gkamzs3k2ogrdr5qd.onion/chat.php
Telegram: @spacedatax

18 августа:
Сообщение >>
Расширение: .rec
Email: enabledecrypt@aol.com
Результаты анализов: VT
---
Сообщение >>
Расширение: .Aim

Составное расширение: .id-XXXXXXXX.[Smith1@mailfence.com].Aim

Email: Smith1@mailfence.com, fun63s@protonmail.com

Результаты анализов: VT

➤ Содержание записки:

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com

Write this ID in the title of your message 0AA58***

In case of no answer in 24 hours write us to theese e-mails:fun63s@protonmail.com

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

19 августа:
Сообщение >>
Расширение: .abc
Email: abc@countermail.com
Результаты анализов: VT

19 августа:
Сообщение >>
Расширение: .get
Email: getthefiles@protonmail.com
Результаты анализов: VT

25 августа:
Сообщение >>
Расширение: .NW24
Email: newhelper24@protonmail.ch
---
Сообщение >>
Расширение: .gtf
Email: getthefiles2@protonmail.ch

25 августа:
Сообщение >>
Расширение: .cl
Email: cl_crypt@aol.com
Результаты анализов: VT

30 августа:
Сообщение >>
Расширение: .gold
Составное расширение: .id-XXXXXXXX.[goldmind@tuta.io].gold
Email: goldmind@tuta.io
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

4 сентября:
Сообщение >>
Расширение: .bmd
Составное расширение: .id-XXXXXXXX.[backmydata@protonmail.com].bmd
Email: backmydata@protonmail.com
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

8 сентября:
Топик на форуме >>
Сообщение >>
Расширение: .TEREN
Составное расширение: .id-XXXXXXXX.[databack44@tuta.io].TEREN
Записки: FILES ENCRYPTED.txt, Info.hta
Email: databack44@tuta.io, decrypt24@gytmail.com
Результаты анализов: VT
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com

Внимание!

Добавление новых вариантов переделано для уменьшения размера. Ссылки деактивированы.

The addition of new variants has been redesigned to reduce the size of the article. The text is shortened, links are deactivated.

10-11 сентября 2020:

twitter.com/Kangxiaopao/status/1303884001430519810

twitter.com/JakubKroustek/status/1304518411301597187

.[blacklivesmatter@qq.com].blm

VT: 9fde7a5e42d55e3323cc0ef76dc06ace
---
.[decrypt@europe.com].EUR

VT: 9d919626f55b47d0766c219ba9b57d27

---

twitter.com/Kangxiaopao/status/1305408131296423936

.[tchukopchu@tutanota.com].chuk

VT: e4e1ff20359c4199ffaeabda00b42fee

14 сентября 2020:

twitter.com/Kangxiaopao/status/1306496936594333696

.[aihlp24@tuta.io].AHP

VT, VMR, IA: b94264963a9dd9ace614cef5668515da

17 сентября 2020:

twitter.com/Kangxiaopao/status/1306496936594333696

.[linajamser@aol.com].lina

VT, VMR, IA: f8ad5a9eef411e2d2a7112c3230976aa

28 сентября 2020:

twitter.com/demonslay335/status/1310623040011669506

.[newhelper@cock.li].WSHLP

VT: 2336eba0d3ac4df1fb9d86906664242d

30 сентября 2020:

twitter.com/JakubKroustek/status/1311421392622178304

.[freshkart@420blaze.it].fresh

VT: e065bd3d92d7026c56862d11914d10d6

1-2 октября 2020:

twitter.com/MarceloRivero/status/1311724010158395392

.[lpe-cve@usa.com].cve

VT: ae29011f8b3506e2b70b21b67b48aa76

---

twitter.com/JakubKroustek/status/1312159851519172608

.[yourfiles1@tutanota.com].FLYU

VT: 0c4cbf1cb8e5065f8df8c8adc4f80e84

8 октября 2020:

twitter.com/MarceloRivero/status/1314245426174926850

twitter.com/Kangxiaopao/status/1316328495945936896

.[decrypt@null.net].zxcv

VT: 0c0893f03d124384c88a439cc16a55c8

---

twitter.com/JakubKroustek/status/1314323059457826818

.[getscoin3@protonmail.com].gtsc

VT: 9ed1b7649c1c8961f2f5c2c7a328db4f

---

twitter.com/JakubKroustek/status/1314323460349480960

.[decrypttme@airmail.cc].dme

VT: 98db57569da8c50de68fb69002c069cb

8 октября 2020:

Идентификация файлов >>

.[White@gytmail.com].harma

Email: white@gytmail.com

Записки: Info.hta и FILES ENCRYPTED.txt

16 октября 2020:

twitter.com/JakubKroustek/status/1317251006271455235

twitter.com/Kangxiaopao/status/1319552719321886720

.[triplock@tutanota.com].LCK

Email: triplock@tutanota.com, triplock@cock.li

VT: ccb5f3cf5b8aa911f074fedee3da8aba

17 октября 2020:

twitter.com/Kangxiaopao/status/1319540451855089664

.[panama777@tutanota].Acuf2

VT: 9424bf51ba8cf295f0ca8e19a9841f85

21-22 октября 2020:

twitter.com/MarceloRivero/status/1318979882311950336

.[blackhat@iname.com].bH4T

VT: 9c6e2271eb2c82ebf63efe18e77d3336

---

twitter.com/MarceloRivero/status/1319321802859073537

.[yourfiles1@tuta.io].YUFL

VT: 45b27ba3f368c0b94ad7f65712762db5

29-31 октября 2020:

twitter.com/Kangxiaopao/status/1324247474135916544

twitter.com/JakubKroustek/status/1321612924948041728

.[kuk1@tuta.io].kut

VT: cd4caaf3c2cee97c5fb1d276d6c13908

---

twitter.com/JakubKroustek/status/1318701527385755656

.[259461356@qq.com].259

VT: a8884f621898726f414fb4f66167142a

---

twitter.com/JakubKroustek/status/1317251446941884416

.[Decrypt@msgsafe.io].Crypt

VT: e7df5f0ec0a0443d4de7ef3368abc8ba

5-6 ноября 2020:

twitter.com/MarceloRivero/status/1324441075747008513

.[ElvisDark@aol.com].Elvis

VT: 23a9656994b25011a2d85401f12407b8

---

twitter.com/Kangxiaopao/status/1324248078627397632

.[Qb777@tutanota.com].harma

VT: 6651235b6e93771a568ecb48a896580e

---

twitter.com/demonslay335/status/1324758013626978305

twitter.com/JakubKroustek/status/1328461134966435842

.[backup@zimbabwe.su].zimba

VT: 717c8741579ff0be4e408a13d1c96b5b

12 ноября 2020:

.[hmdjam@protonmail.com].harma

16 ноября 2020:

twitter.com/JakubKroustek/status/1328458376418897931

twitter.com/MarceloRivero/status/1328481936415879169

.[m5b92n5p1@mail.com].sss

VT: 8368ad17a88e93a6a78dfe1ca434f2c1

---

twitter.com/JakubKroustek/status/1328462439164342273

.[linas89@aol.com].help

VT: b8b9835cf62fd428519f9ad680677c73

---

twitter.com/JakubKroustek/status/1328457407375216640

.[decryptex@airmail.cc].dex

VT: 9dfcd5165fcbf89e319ceca3f5077490

18 ноября 2020:

twitter.com/Kangxiaopao/status/1328907504982450176

twitter.com/JakubKroustek/status/1333146491460984838

.[zinnik321@cock.li].ZIN

VT: e874441b0e0c0fa908b9ee2b4fcc91e9

20 ноября 2020:

twitter.com/Kangxiaopao/status/1329686814957871104

twitter.com/JakubKroustek/status/1329909329097584641

.[eusa@tuta.io].SWP

VT: e03b110220a00b3a377ccf0b0d8969f9

---

twitter.com/JakubKroustek/status/1329904107583397889

.[patrik008@tutanota.com].cvc

VT: c5da72bf3b48ab6b768e9cc0556619f8

29 ноября 2020:

twitter.com/JakubKroustek/status/1333147102902411266

.[kjingx@tuta.io ].SUKA

VT: 2d2a721be6290325388f0c911101f557

15 декабря 2020:

twitter.com/JakubKroustek/status/1338994027853701122

.[metasploit@post.com].msf

Записки: FILES ENCRYPTED.txt, Info.hta

Email: metasploit@post.com, metato3sploit@gobv2.eu

VT: d9f8a75a649e2b580fb57603b92d7ae1

---

twitter.com/JakubKroustek/status/1338994874906013697

.[datafiles@waifu.club].lock

VT: 70793ac200180fb319c4d1a57f5a6ff4

18-19 декабря 2020:

twitter.com/Kangxiaopao/status/1342309535784919041

.[21btc@cock.li].21btc

VT: 0973796db7ceb79da48b8f93c882e96c

---

.[meterpreter@null.net].mpr

VT: dd2189e382d60b6db8345cd59191f61c

---

twitter.com/JakubKroustek/status/1340088669730947074

.[1btc@cock.li].21btc

VT: 0973796db7ceb79da48b8f93c882e96c

19 декабря 2020:

twitter.com/fbgwls245/status/1363683976037101574

.[rassupport@cock.li].bk

Записки: FILES ENCRYPTED.txt, Info.hta

22 декабря 2020:

twitter.com/JakubKroustek/status/1341150084642312193

.[getacrypt@tuta.io].gac

VT: d4f167bf8e83fc39e1df1fe35984f31a

27 декабря 2020:

twitter.com/JakubKroustek/status/1343323132069892098

.[hlper4y@tutanota.com].4help

VT: 4d5340567483a117456b9cf93b437874

---

.[consolemsf@aol.com].msf

=== 2021 ===

7 января:

.[yourfiles1@cock.li].yoAD

Записки: FILES ENCRYPTED.txt

9 января 2021:

twitter.com/JakubKroustek/status/1348230044783702017

.[axitrun@cock.li].14x

VT: ca0addfe1e2c58cb30c26f12238ddc20

10 января:

twitter.com/JakubKroustek/status/1348229447720329216

.[crypthub@tuta.io].hub

VT: 183042986d2951855765ee16e6725e41

---

twitter.com/JakubKroustek/status/1348229751715082241

.[astra2eneca@aol.com].aol

Email: astra2eneca@aol.com, bluekeep@aol.com

VT: 23d06e9225b8b6a3fbdcbc1c98b36fc0

12 января:

.[trizvani@aol.com].harma

Записки: FILES ENCRYPTED.txt, Info.hta

18 января:

twitter.com/JakubKroustek/status/1350959017993121797

.[decrypt@disroot.org].dis

VT: 5c46eaec7e173ea4a4e12feefb0d461c

26 января:

twitter.com/Kangxiaopao/status/1354676679386402816

.id-XXXXXXXX.[ggg666999@goat.si].ROGER

VT: b0f85a9060020fabaa83ebe0b9ab4c66

30 января:

twitter.com/raby_mr/status/1355082505209040896

.[yourfiles1@cock.li].NOV

Email: yourfiles1@cock.li, tcprx@tutanota.de

VT: 8d84df31c8b92febddeca8c6f04c5d54

1 февраля:

.[22btc@tuta.io].22btc

2-3 февраля

twitter.com/JakubKroustek/status/1356664120486068225

.[22btc@tuta.io].22btc

VT: 52dc280ad394708931af17f22dd1b979

---

twitter.com/JakubKroustek/status/1356663052205232128

.[Avaaddams@msgsafe.io].Avaad

VT: bda1d4fe5e62cbc119dff09037c97251

---

twitter.com/JakubKroustek/status/1356663410168123392

.[wannacry@msgsafe.io].crypt

VT: 0805784945c3f177edf45376a41a3d32

---

twitter.com/JakubKroustek/status/1357128319930630145

.[TomLee240@aol.com].TomLe

VT: 47576351e4b2aaab86be6013eb20324c

9-11 февраля:

twitter.com/JakubKroustek/status/1359257665248108547

.[helpdecrypt@msgsafe.io].text

VT: 81f5115bc680611f71c63ddefe96089b

---

twitter.com/JakubKroustek/status/1359256244654133249

.[con3003@msgsafe.io].con30

VT: 51f872c29983b00142f84e3d41036f7a

---

twitter.com/JakubKroustek/status/1359646484594102276

.[paymei@cock.li].LOTUS

VT: eb6ff35705db2eb895fcf57269bd89fe

---

twitter.com/JakubKroustek/status/1359255867548463104

.[btc11@gmx.com].wcg

VT: 20b1c7ebeac0f0726ededdbe364d823e

---

twitter.com/JakubKroustek/status/1359646135464452100

.[vm1iqzi@aol.com].word

Записка: RESTORE_FILES_INFO.txt

VT: e97f3f75d2445e653715c51fc3bdb293

12 февраля:

.[payforkey@firemail.cc].ROGER

---

twitter.com/JakubKroustek/status/1363645755551084546

.[carbanak@aol.com].pauq

VT: 8d6a72bd4d8daee71db92f8b1655030e

22 февраля 2021:

twitter.com/JakubKroustek/status/1363898276156686338

.[lizardcrypt@msgsafe.io].four

VT: 3d8e0d85865bf1b617e790b34aa5ad8c

23 февраля 2021:

twitter.com/JakubKroustek/status/1366541990725304320

.[necurs@aol.com].urs

VT: 64e210643eada76d4891eceac01ead42

24 февраля 2021:

twitter.com/JakubKroustek/status/1364732330506616837

.[coleman2021@aol.com].clman

VT: 31c13a1b085b0fc1e8d5573044dd58b4

1 марта 2021:

.[oral@tuta.io].ORAL

VT: 46c995b77a3e6d06cd17bba0589a265f

---

.[restore_data@gmx.de].harma

6 марта

twitter.com/JakubKroustek/status/1368338402739970053

.[JessyMail26@aol.com].Jessy

VT: d4323c08e880637f4656b3697aa697b6

7 марта

twitter.com/JakubKroustek/status/1368646748382576642

.[embog@firemail.cc].ROG

VT: 8f9ab25d2ae627c45c05fcb0b0b8b4fe

11 марта

twitter.com/JakubKroustek/status/1370152896919126016

.[biden@cock.li].biden

VT: 36f3b91b2a6a25482768e7d2879d1f1d

---

twitter.com/JakubKroustek/status/1370153171578945540

.[filerecovery@zimbabwe.su].eofyd

VT: beefefa7478b79f9312e1169bd3335a2

---

twitter.com/JakubKroustek/status/1370153507483967488

.[dokulus@tutanota.com].duk

VT: e73005fdcdab41700a204f4908faf616

12 марта

twitter.com/JakubKroustek/status/1370509828238544907

.[filerecovery@zimbabwe.su].LAO

VT: 3f11696b9c13e02c119e9866c4b16530

---

twitter.com/JakubKroustek/status/1370510190378909710

.[brokendig@zimbabwe.su].pirat

VT: b06749345417710a0cbb52d600a93b08

17 марта

twitter.com/JakubKroustek/status/1371966419248816129

.[lizardcrypt@tuta.io].liz

VT: 1f8f2f78aed398b5b4c407f28d1bac04

23 марта

.[unlockodveta@gmail.com].harma

---

.[badhach@aol.com].bqd2

VT: 2901f8252abb41366502907ffdeab557

2 апреля

twitter.com/JakubKroustek/status/1377698699208499203

.[godecrypt@onionmail.org].4o4

VT: a8bf69c01f1ebebc8c28c4962650733c

---

.[catapultacrypt@tuta.io].ctpl

VT: 1472ee058aede06125f5a52a1dfea5a9

5 апреля

.[godecrypt@onionmail.org].4o4

12 апреля

twitter.com/Kangxiaopao/status/1381564710437330949

.[datahelp@techmail.info].error

VT: b868c8e4eec4f53602de1a2caa517bdb

---

.[goldmind@tuta.io].gold

VT: aef771cc4e0326999be13c719ce8feab

---

twitter.com/Kangxiaopao/status/1381566968147271680

[zphc@cock.li].zphs

VT: 7daf9cbaab744b12de815f9530885a35

---

twitter.com/Kangxiaopao/status/1381569293473603586

.[backdata@qbmail.biz].back

VT: 938756c9d0f9c752c7d1b889e3343a2d

12 апреля:

.[decryptioner@airmail.cc].harma

Email: decryptioner@airmail.cc, Decryptioner@uncryptfile.com

Записка: FILES ENCRYPTED.txt

21 апреля:

twitter.com/JakubKroustek/status/1384791698983866370

.[2021@onionmail.org].2122

VT: 80edeb6300b4bb17052e0032b8b41912

---

.[hpjar@keemail.me].HPJ

VT: b53c901068b57dcc17d4186de1b44a5c

24 апреля:

twitter.com/fbgwls245/status/1385756024456441861

.[bad_dev@tuta.io].bdev

Записки: info.txt, Info.hta

Email: bad_dev@tuta.io, bad.dev@onionmail.org

VT: 1935185051c225c096396bffbd7b5a34

VT: b35c0b207320d93d0589eb15dcbab440

27 апреля:

Сообщение >>

.[restore_data@gmx.de].harma

Записка: Info.hta

Email: restore_data@gmx.de, restore_data2@mein.gmx

Файл: DesktopTuner.exe

Результаты анализов: VT + AR + IA

Идентификация: Dharma, Dharma

Это определяется как Dharma, email и расширения тоже его, но образец похож на PewPew. Майкл Гиллеспи подтвердил, что это Dharma.

27 апреля:

twitter.com/fbgwls245/status/1387287986799140864

.[dagsdruyt@onionmail.org].cum

28 апреля + 15 мая:

twitter.com/JakubKroustek/status/1393662583601836034

.[eye@onionmail.org].eye

Записка: FILES ENCRYPTED.txt

Email: eye@onionmail.org. 1337@onionmail.org

VT: d0b1f4517d4f5781b5c6f3b56ea92c6

30 апреля:

twitter.com/fbgwls245/status/1388080288509661188

.[datahlp@tuta.io].dhlp

16-17 мая:

Сообщение >>

.[paymei@cock.li].LOTUS

Email: paymei@cock.li, paymei@msgsafe.io

19 мая:

twitter.com/JakubKroustek/status/1395117408004808711

.[getdecrypt@disroot.org].root

VT: 14bc92802abf4cc0c2c2dc9d36e709cb

21 мая:

.[2021@onionmail.org].2122

Запсика: FILES ENCRYPTED.txt

Email: 2021@onionmail.org, 2022@onionmail.org

Идентификация >>

23 мая:

twitter.com/JakubKroustek/status/1396568741090054145

.[rdphack@onionmail.org].rdp

VT: b2eff93d16267edd3817eee2a40c7eee

30 мая:

twitter.com/fbgwls245/status/1399164099401949191

.[delta@onionmail.org].DELTA

VT: 127bebd839df1d611946f8f780b65900

3 июня:

twitter.com/JakubKroustek/status/1400452505662754816

.[partydog@msgsafe.io].PARTY

VT: 598aa2752699937758727a28d8335c0e

---

twitter.com/JakubKroustek/status/1400451303617171470

.[cryptoncrypt@tuta.io].cnc

VT: e35eb226284a1981e56a1d4130240daa

7 июня:

twitter.com/pcrisk/status/1402125162732998667

.[honestly@tutanota.com].ZIG

VT: b6dfd0c9aa96d461b8f80b8ba5b6fbaa

23 июня:

twitter.com/JakubKroustek/status/1407694379649748993

.[nomanscrypt@tuta.io].nmc

VT: 811d527a68711ce66fac8e2e4bf76a46

---

.[Zeus1@msgsafe.io].ZEUS

VT: e1f0a8b99faf126e766a0c3b0dd9f9ee

19 июня:

twitter.com/pcrisk/status/1406837183496048641

.[khfsuca@protonmail.com].pr09

VT: d5c80a151582a95c7307f9cbd4126e01

24 июня:

.[projectblack@criptext.com].PB

Записка: FILES ENCRYPTED.txt

Email: projectblack@criptext.com, projectb@onionmail.org

9 июля:

www.bleepingcomputer.com/forums/t/754560/

twitter.com/JakubKroustek/status/1418685927510138884

.[datos@onionmail.org].DT

Email: datos@onionmail.org, datos@msgsafe.io

VT: ae02ba6ad6ff9267a96d372c06f797a9

14 июля:

twitter.com/pcrisk/status/1415192236996890624

.[pcstuntman@onionmail.org].PcS

VT: fcc24064401afc12c33b38f40b82f139

14 июля:

twitter.com/pcrisk/status/1415533204698710016

.[python100@tutanota.com].pause

VT: d9539037d3a05a7d98432b94441263aa

15 июля:

twitter.com/pcrisk/status/1415644260007923714

.[tiocapvbu@aol.com].OFF

VT: 1ad65ad9cb2e23f0174ac91dbaa8af8c

20 июля:

twitter.com/pcrisk/status/1417735315930947584

.[grejkugulik@onionmail.org].grej

VT: efb7d5d9f771998280a53e1ccc7d4e62

---

twitter.com/pcrisk/status/1417735240618070018

.[***].myday

VT: be0117004d25c73a3529695c76ac5c4d

23 июля:

twitter.com/JakubKroustek/status/1419424755036340226

.[cryptodancer@onionmail.org].dance

VT: 2a1a758f2330c09aa9e9bcfc78364782

30 июля:

twitter.com/JakubKroustek/status/1421004817577783297

.[todecrypt@disroot.org].TOR

VT: efdcd5add82fcf68e4bd8793256cca13

2 августа:

twitter.com/pcrisk/status/1422420913480404994

.[p1gansta1p@aol.com].GanP

Записка: Info.hta

Email: p1gansta1p@aol.com, GPARADISE@TUTA.IO

VT: 2e9483c4981f7a43b6633455a14b0d6c

5 августа:

twitter.com/JakubKroustek/status/1423310941236736003

.[clean@onionmail.org].CLEAN

VT: d47ae65101246175a47fa20a70660c76

6 августа:

twitter.com/pcrisk/status/1424599779812708356

.[bidencrypt@onionmail.org].JRB

VT: a84a6eb91596296f87c39b5ea5dbc271

8 августа:

.[lockfilters@zohomail.eu].filters

17 августа:

twitter.com/JakubKroustek/status/1427718108601622530

.[c0v1d19@job4u.com].c0v

22 августа:

twitter.com/pcrisk/status/1429692118331797504

.[dts1024@tutanota.com].dts

VT: 0d9cf783e5a31334e51cd8a70f1580e6

25 августа

twitter.com/pcrisk/status/1430791036721410049

.[yourfiles1@cock.li].TCYO

VT: e8d36fe985ccf14fc4bcd2f2bc8c81a7

25 августа

twitter.com/pcrisk/status/1430780682528296966

.[6ix9@asia.com].6ix9

Записки: FILES ENCRYPTED.txt, Info.hta

Email: 6ix9@asia.com, 9ix6@usa.com

VT: b9750a01692e2c7bfecb9ca076d9b119

26 августа:

twitter.com/pcrisk/status/1431138304850862080

.[ghostdog@onionmail.org].RZA

VT: 4523ab3e6685e7052cd568253c0108ce

*** пропущенные варианты ===

2 ноября:

twitter.com/fbgwls245/status/1455462002571165704

.[crpt4mn@onionmail.org].MS

Записки: Info.hta, MANUAL.txt

Email: crpt4mn@onionmail.org, crpt4mn@msgsafe.io

VT: b75251731b56827c342c99aa971ba08f

17 декабря:

twitter.com/fbgwls245/status/1471842611044696071

.[code1024@keemail.me].C1024

Записки: info.txt, info.hta

VT: ea5b39f4ae5947c5f8e1ac7611f850d2

---

Эта страница перегружена, поэтому я приостанавливаю добавление новых вариантов.

Следите за новыми вариантами в Твиттере

- на канале PCrisk >>

- на канале JakubKroustek >>

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для трёх семейств Dharma (.dharma, .wallet, .onion) можно дешифровать файлы. 
Статья про версию с расширением .dharma >>
Статья про версию с расширением .wallet и .onion >> 
Kaspersky RakhniDecryptor для расшифровки некоторых версий >>

Дешифраторы от Kaspersky, ESET, Avast для дешифровки ранних версий:
KasperskyRakhniDecryptor (обновлен для поддержки новых версий)
EsetCrysisDecryptor
AvastDecryptorCrysis
Расшифровка только поддерживаемых расширениий. Более новые — нет.
Попробуйте сначала тест-расшифровку небольшого числа файлов.

К сожалению, для других семейств нет дешифровщиков.
Если дешифровка будет возможна, мы сообщим здесь.
***

 Read to links: 
 Topic on DC, Video review
 ID Ransomware (ID as Dharma: .dharma, .wallet, .onion, .cezar)
 Write-up on BC, Write-up on BC (add. May 18, 2017)

 Thanks: 
 Michael Gillespie, Lawrence Abrams, quietman7
 R0bert R0senb0rg, Jakub Kroustek
 Alex Svirid, GrujaRS, Mihay Ice, GrujaRS
 Emmanuel_ADC-Soft, Barmalej 
 ...и другим, кто дополняет информацию.

31 комментарий:

Unknown1 декабря 2018 г. в 09:53
Обновление от 30 ноября 2018:
Расширение: .adobe
Составное расширение: .id-F82442B3.[admindecryption@cock.li].adobe
Записки: FILES ENCRYPTED.txt
Email: admindecryption@cock.li
ОтветитьУдалить
Ответы
Amigo A25 декабря 2018 г. в 15:57
Спасибо. Добавили.
ОтветитьУдалить
Ответы
Unknown15 января 2019 г. в 19:53
Доброго времени суток! У нас всё в точности. Удалось ли дешифровать?
ОтветитьУдалить
Ответы
Amigo A16 января 2019 г. в 12:42
Выше сделал два разных блока с дешифраторами. Расшифруются только более ранние.
ОтветитьУдалить
Ответы
Unknown19 января 2019 г. в 13:09
Доброго времени суток! У нас аналогичная проблема (бюджетное детское лечебное учреждение) зашифрован сервер с 1С. Нашел на форумах человека, который платил злоумышленникам, от него достались: шифрованный (его) файл, екзкшник дешифратора, тхт с ключами на запрос расшифровки, тхт с ключами для расшифровки. у меня вопрос - может ли этот набор файлов помочь вирусным аналитикам расшифровать наши файлы? заранее спасибо за ответ!
ОтветитьУдалить
Ответы
Amigo A19 января 2019 г. в 23:57
Таких образцов у исследователей уже хоть пруд пруди. Бесплатного дешифровщика нет.
Ваш первый шаг должен быть не искать в Интернете расшифровку, а написать онлайн-заявление http://id-ransomware.blogspot.com/2016/03/blog-post-online-statement.html
Бюджетное детское лечебное учреждение?.. А сервер имел хоть какую-то антивирусную серверную защиту?
ОтветитьУдалить
Ответы
Unknown20 января 2019 г. в 00:03
стоял нод32, но, увы - не справился..
ОтветитьУдалить
Ответы
Amigo A20 января 2019 г. в 15:40
На сервере должны быть серверная защита, если к нему подключены другие ПК или выполнен комплекс мер защиты, как описано здесь
https://id-ransomware.blogspot.com/p/ransomware.html
Nod32 Антивирус не защитит даже одного ПК, там более устаревшая хотя бы на 1 год версия.
Нужна именно серверная версия защиты
https://www.esetnod32.ru/download/business/commercial/fileservers/
ОтветитьУдалить
Ответы
Unknown18 февраля 2019 г. в 20:42
blackhat2019@aol.com есть информация о добросовестности этих ребят? Высылают ли дешифровщик после оплаты?
ОтветитьУдалить
Ответы
Unknown15 апреля 2019 г. в 15:44
Доброе время суток есть некоторые файлы с рабочего стола... могу скинуть если они чем то помогут и насколько я понял есть какой-то ключ на 512
ОтветитьУдалить
Ответы
Gheorghe15 октября 2019 г. в 18:16
Очевидно что сюда заходят не ДО беды, а ПОСЛЕ(
Расширение: .harma
Составное расширение: .id-42AA1219.[bitcoi1@foxmail.com].harma
Записки: не было записок. Ответ с инструкциями получили после написания письма.

Очень надеюсь на какое-то решение в обозримом будущем, а то требуемый выкуп (с начало 3000, пока уторговали на 1000) нереальный для данного предприятия
ОтветитьУдалить
Ответы
Unknown20 октября 2019 г. в 19:05
Добрый день. Сервер подвергся атаке [MerlinWebster@aol.com].harma есть какая либо инфа о них, и как можно расшифровать файлы? Могу скинуть образец зашифрованого и расшифрованого файла.
ОтветитьУдалить
Ответы
Unknown23 октября 2019 г. в 23:27
id-F29D7F8B.[b1tc01n@aol.com].oo7 - новая зараза, базы 1с полегли! Отчеты Excel и Doc и exe все полегло =(
ОтветитьУдалить
Ответы
Сергей13 ноября 2019 г. в 23:12
Доброго, есть какие-то изменения или новости по поводу:

Обновление от 16 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[keyhelp@cock.li].money
Email: keyhelp@cock.li

Кто-то сталкивался, были удачные варианты решения ?
ОтветитьУдалить
Ответы
evgalci2 января 2020 г. в 16:13
SweetCoub
Вы нашли способ восстановить зашифрованные файлы больших размеров.
30.12.2019 подхватил шифровальщика и он все пошифровал
на компьютере. У меня были образы системного диска и рабочих
лог.дисков созданные программой Acronis True Image. Размеры бэкапов по 230Гб-300Гб,
я планировал с них восстановится, но они также зашифрованы.
Просьба отпешите мне evgalci@gmail.com , большое спасибо.
ОтветитьУдалить
Ответы
Amigo A2 января 2020 г. в 19:45
Если ПО Acronis True Image было куплена, то можете обратиться в техподдержку Acronis. Они ранее заявляли, что их пользователи защищены от шифровальщиков.
ОтветитьУдалить
Ответы
Unknown28 мая 2020 г. в 09:31
Доброго времени суток
словили вирус что заблокировал доки а также 1с.
поможет кто нибудь? и на каких условиях спасибо !
ОтветитьУдалить
Ответы
Алексей1 июня 2020 г. в 23:56
словил
all your data has been locked us
You want to return?
write email dr.decrypt@aol.com or dr.decrypt01@aol.com

файлы стали *.[dr.decrypt@aol.com].dr
бэкапы все тоже переписаны. Кто знает чем помочь?
ОтветитьУдалить
Ответы
Unknown22 сентября 2020 г. в 14:34
никто не поможет, кроме вымогателя. платить или не платить- решать вам.
ОтветитьУдалить
Ответы

Добавить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware

(семейство шифровальщиков-вымогателей, все итерации, RaaS)

Translation into English

31 комментарий:

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware

(семейство шифровальщиков-вымогателей, все итерации, RaaS)

Translation into English

31 комментарий:

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

четверг, 17 ноября 2016 г.