суббота, 17 декабря 2016 г.

Fake Globe

Fake Globe Ransomware: 

GlobeImposter, GlobeImposter 2.0

(группа шифровальщиков-вымогателей)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA или RC4/RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название получил из-за подражания крипто-вымогателю Globe. Среда разработки: Visual C++/ Visual Studio. 
Алиасы: Trojan.Encoder.7325, Trojan.Encoder.10737, Trojan.Encoder.11539 (у Dr.Web), Ransom_FAKEPURGE.A и другие (у TrendMicro), Ransom.GlobeImposter (у Symantec)

Этимология названия:
Название GlobeImposter (Globe-самозванец) было дано в сервисе идентификации крипто-вымогателей "ID-Ransomware" из-за присвоения вымогателями "фирменной" записки о выкупе у семейства Globe. 
Цель: запугать жертв, запутать исследователей, дискредитировать программы дешифрования, выпущенные для Globe-семейства. Таким образом, все подражатели под Globe, которые не дешифруются утилитами дешифрования, выпущенными для Globe 1-2-3, получили условное название GlobeImposter, а после — GlobeImposter 2.0. 

© Генеалогия: Globe > Fake Globe: GlobeImposter, GlobeImposter 2.0

К зашифрованным файлам добавляется расширение .crypt

У других итераций семейства GlobeImposter к зашифрованным файлам добавляются также следующие расширения:
.bad
.BAG
.FIX
.FIXI
.legally
.keepcalm
.pizdec
.virginlock
.[byd@india.com]SON
.[xalienx@india.com]
.<[ransom_email]>
.<random_numbers{3-4}>
.<random_chars{3-5}>

Из-за отсутствия подробных исследований этого семейства (подсемейства) вымогателей, в списке обновлений и расширений возможны нестыковки и ошибки. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа позаимствованы вымогателями у Globe Ransomware и называются также HOW_OPEN_FILES.hta. Разбрасываются в каждой папке с зашифрованными файлами. 
Содержание записки может копироваться из других вымогателей, чтобы запутать идентификацию.
Fake Globe Ransomware шифровальщик HOW_OPEN_FILES.hta
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
***
All your important data has been encrypted. To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 1 BTC on one of these sites
1. https://localbitcoins.com 
2. https://www.coinbase.com 
3. https://xchange.cc
bitcoin adress for pay:
jlHqcdC83***:
Send 1 BTC for decrypt
After the payment:
Send screenshot of payment to alex_pup@list.ru . In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный ID
***
Все ваши важные данные были зашифрованы. Для восстановления данных вам нужен дешифратор.
Чтобы получить дешифратор вы должны:
заплатить за расшифровку:
сайт для покупки Bitcoin:
Купить 1 BTC на одном из этих сайтов
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://xchange.cc
Bitcoin-адрес для оплаты:
jlHqcdC83***:
Отправить 1 BTC за расшифровку
После оплаты:
Отправить скриншот оплаты на alex_pup@list.ru . В письме указать свой личный ID (смотрите в начале этого документа).
После этого как вы получите дешифратор и инструкции
Внимание!
• Нет оплаты = Нет дешифрования
• Вы реально получаете декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования данных приведут к потере ваших данных
• Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

ВНИМАНИЕ! В качестве дополнительного средства злоумышленниками может использоваться легитимная программа Process Hacker или ей подобная. Проверьте, не появилась ли папка "Process Hacker 2" в директориях Пользователя: "Документы", "Музыка", "Видео". 

Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .chm, .dat, .db, .DeskLink, .dll, .doc, .docx, .dtd, .exe, .h, .ico, .ini, .jpg, .jpeg, .lnk, .log, .MAPIMail, .msi, .ppt, .pptx, .py, .shw, .txt, .url, .wav, .wb2, .wma, .wmdb, .wpl, .xls, .xlsx, .xml (34 расширения).
Это могут быть документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр.

Пропускаются файлы с расширениями: 
.hta, .wpd, .csv, .bin

Файлы, связанные с этим Ransomware:
<random>.bat
<random>.exe
HOW_OPEN_FILES.hta
подтверждение.exe - вредоносное вложение с названием на русском языке

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
Email: alex_pup@list.ru
Email в обновлениях:
keepcalmpls@india.com
happydaayz@aol.com
strongman@india.com
byd@india.com
xalienx@india.com
511_made@cyber-wizard.com
btc.me@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== 2017 === Russian + English ===

Обновление от 15 февраля 2017:
Файл: 2-0.5.exe
Результаты анализов: VT

Обновление от 12 января 2017:
Записка: how_to_back_files.html
Email: overrldeloop@mail-on.us
overrldeloop@tuta.io

Обновление от 13 марта 2017:

Пост в Твиттере >>
Файлы: <random>.exe, %TEMP%\qfjgmfgmkj.tmp
Записка: how_to_recover_files.html
Расширение: .pizdec
Результаты анализов: HA+VT
Проверяет наличие антивирусов: 
COMODO, Kaspersky Lab, McAfee, Avira, Avast, Symantec
<< Скриншот записки

Обновление от 11 апреля 2017:
Считается как GlobeImposter 2.0
Расширение: .FIX
Email: happydaayz@aol.com и strongman@india.com
Записка: how_to_recover_files.html
Тема поддержки >> https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/
Содержание записки:
YOUR FILES ARE ENCRYPTED!
Your personal ID
*****
All your files have been encrypted due to a security problem with your PC.
To restore all your files, you need a decryption.
If you want to restore them, write us to the e-mail happydaayz@aol.com.
Or you can, write us to the e-mail strongman@india.com.
In a letter to send Your personal ID (see In the beginning of this document).
You have to pay for decryption in Bitcoins.
The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
In the letter, you will receive instructions to decrypt your files!
In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds.
HURRY! Your personal code for decryption stored with us only 72 HOURS!
Our tech support is available 24 \ 7
Do not delete: Your personal ID
Write on e-mail, we will help you!
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
When the transfer is confirmed, you will receive interpreter files to your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it nay cause permanent data loss.
Decryption of your files with the help of third parties nay cause increased price (they add their fee to our) or you can become a uictim of a scam.
Do not attempt to remoue the program or run the anti-uirus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders are not compatible with other users of your data, because each user’s unique encryption key

Обновление от 1 мая 2017:
Пост в Твиттере >>
Считается как GlobeImposter 2.0
Расширение: .keepcalm
Email: keepcalmpls@india.com
Результаты анализов: VT

Обновление от 2 мая 2017:
Считается как GlobeImposter 2.0 (здесь и далее)
Расширение: .FIXI
Email: happydaayz@aol.com и strongman@india.com
Записка: HOW TO DECRYPT FILES.TXT
Содержание записки:
*текст аналогичен, как в записке от 11 апреля* (см. выше). 

Обновление от 3 мая 2017:
Пост в Твиттере >>
Записка: how_to_back_files.html
Расширение: .crypt
Примеры зашифрованных файлов:
eWQUeJ.docx.crypt
EvYOiAGP.xlsx.crypt
eEx8lzjWqStr2.pdf.crypt
<< Скриншот записки



Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .vdul
Email: 511_made@cyber-wizard.com
BTC: 1GvgRRnLpUP7KsLZLE23ridD45MUxHoAJ4
Результаты анализов: HA+VT

Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .2cXpCihgsVxB3
Email: btc.me@india.com, BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U@bitmessage.ch
BTC: 1MDfQMYSF586GMjwEYxnesAcRhsobEd4BD
Результаты анализов: HA+VT

Обновление от 29 мая 2017:
Расширение: .hNcrypt
Записка: how_to_back_files.html
Описание у Dr.Web >>

Обновление от 18 июня 2017:
Пост в Твиттере >>
Записка: how_to_back_files.html
Расширение: .virginprotection
Email: filesopen@yahoo.com
openingfill@hotmail.com
Результаты анализов: VT
Скриншоты записки >>


Обновление от 30 июня 2017:
Расширение: .crypt
Записка: how_to_back_files.html
Email: zuzya_next@aol.com и zuzyacrypt@india.com
Пример темы на форуме >>
<< Скриншот записки


Обновление от 6 июля 2017:
Пост в Твиттере >> 
Расширение: .oni
Записка: !!!README!!!
Email: hyakunoonigayoru@yahoo.co.jp
Результаты анализов: VT


Обновление от 11 июля 2017:
Расширение: .707
Пост в Твиттере >> 
Записка: RECOVER-FILES.html
Результаты анализов: VT

Обновление от 17 июля 2017:
Пост в Твиттере >> 
Расширение: .s1crypt
Email: laborotoria@protonmail.ch
Записка: how_to_back_files.html
Результаты анализов: VT, VT
<< Скриншот записки и заш-файлы. 


Обновление от 17 июля: 
Пост в Твиттере >>
Расширение: .au1crypt
Записка: how_to_back_files.html
<< Скриншот записки и заш-файлы
Примеры файлов: 
Июль - новый документ.scr
Копия за июль.scr
DOCU11072017 - отчет.scr
Email: summerteam@tuta.io и summerteam@india.com
Результаты анализов: HA+VT

Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .GOTHAM
Записка: how_to_back_files.html
Файлы: <random>.tmp.bat
Результаты анализов: HA+VT

Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .crypt
Записка: how_to_back_files.html 
Email: support24@india.com
support24_02@india.com
Результаты анализов: HA+VT



Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .HAPP
Записка: how_to_back_files.html
Email: happydaayz@aol.com
strongman@india.com
Результаты анализов: HA+VT






Обновление от 24 июля 2017:
Пост в Твиттере >>
Расширение: .{asnaeb7@india.com}.BRT92
Записка: #HOW_DECRYPT_FILES#.html
Email: asnaeb7@india.com
asnaeb7@yahoo.com
Результаты анализов: HA+VT
<< Скриншот экрана с запиской и файлами


Обновление от 29 июля 2017:
Пост в Твиттере >>
Расширение: .725
Записка: RECOVER-FILES.HTML

Обновление от 31 июля 2017:
Статья на английском >>
Записка: !back_files!.html
Расширение: .crypt
Email: oceannew_vb@protonmail.com
Email-вложение: EMAIL_[RandomNumbers]_[RecipientName].zip
Например: EMAIl_877821_Bleeping.zip
Содержание архива: EMAIL_877821_Bleeping.zip -> 871231.zip -> msaSh.js
Exe-файл подписан ворованным сертификатом, выданным на thawte.
Вредоносная кампания: Blank Slate
URLs: xxxx://filmcoffee.win/support.php?f=1.dat
xxxx://cabeiriscout.faith/support.php?f=1.dat
xxxx://scenetavern.win/support.php?f=1.dat
xxxx://hallvilla.win/support.php?f=1.dat
Содержание записки:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail oceannew_vb@protonmail.com in body of your message write your ID
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Your personal ID
76 DC F5 69 B5 7B F2 22 57 ***

Обновление от 1 августа 2018:
Расширение: .skunk
Записка: how_to_back_files.html
Email: skunkwoman_next@aol.com
skunkwoman@india.com







Обновление от 6 августа 2017:
Пост в Твиттере >>
Расширение: .mtk118 
Записка: how_to_back_files.html
Email: Lockyhelper@cyber-wizard.com
lockyhelper@protonmail.com
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .crypt 
Записка на русском языке: how_to_back_files.html
Email: alfatozulu@tutanota.com
alfatozulu@mail.ru
<< Скриншот записки






Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .coded 
Записка: how_to_back_files.html
Email: Decoder_master@aol.com
Decoder_master@india.com
Файл: HPLaserJetService.exe
Результаты анализов: HA+VT
<< Скриншот записки



Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .astra
Записка: here_your_files!.html 
Tor: xxxx://cr7icbfqm64hixta.onion
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .492
Записка: here_your_files!.html
Email: file_free@protonmail.com
koreajoin69@tutanota.com
<< Скриншот записки




Обновление от 8 августа 2017:
Ссылка на MTA >>
Расширение: ..txt
Записка: Read_ME.html
<< Скриншот записки
Еще скриншоты в Твиттере >>
Результаты анализов: HA+VT
Видеоролик от GrujaRS CyberSecurity‏ >>

Обновление от 10 августа 2017:
Пост в Твиттере >>
Расширение: .rumblegoodboy
Файл: System.exe
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 12 августа 2017:
Пост в Твиттере >>
Расширение: .0402
Записка: !SOS!.html
URL: xxxx://dancediner.trade***
Tor: xxxx://cr7icbfqm64hixta.onion
xxxxs://cr7icbfqm64hixta.onion.to
xxxxs://cr7icbfqm64hixta.onion.link
xxxx://cr7icbfqm64hixta.onion.rip
Результаты анализов: HA+VT
<< Скриншот записки


Обновление от 12 августа 2017:
Пост в Твиттере >>
Расширение: .trump
Email: Donald_Trump@derpymail.org
happydaayz@aol.com
<< Скриншот записки








Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширения: .D2550A49BF52DFC23F2C013C5, .zuzya, .UNLIS.LEGO


Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширения: .GRANNY, .granny
Email: crazyfoot_granny@aol.com
crazyfoot_granny@india.com
Скриншот записки >>




Обновление от 17 августа 2017:
Пост в Твиттере >>
Расширение: .{saruman7@india.com}.BRT92 
Записка: #DECRYPT_FILES#.html
Email: saruman1@india.com
saruman1@yahoo.com
Результаты анализов: HA+VT
<< Скриншот записки






Обновление 22 августа 2017:
Расширение: .rumblegoodboy
Записка: how_to_back_files.html
Файлы: System.exe
Email: BlackMajor@protonmail.com

Результаты  анализов: HA+VT







Обновление от 26 августа 2017:
Расширение: .lock
Результаты анализов: VT

Обновление от 26 августа:
Расширения: .needdecrypt и .write_on_email
Пост в Твиттере >>


Обновление от 31 августа 2017:
Пост в Твиттере >>
Расширение: .BUSH
Email: George_Bush@derpymail.org

Обновление от 1 сентября:
Расширение: .f1crypt

Обновление от 4 сентября:
Пост в Твиттере >>
Расширение: .clinTON
Email: Bill_Clinton@derpymail.org
Сумма выкупа: 0.5 BTC
Дешифровщик даже после оплаты не присылают. 
Тема на форуме BC >> 







Обновление от 5 сентября: 
Расширение: .nopasaran
Email: youdecrypted@india.com
Используется системная утилита wevtutil.exe

Обновление от 5 сентября: 
Расширение: .crypted_steffevendeng@post_com
Email: steffevendeng@post.com
Записка: how_to_back_files.html 
Выдаёт себя за Steffevendeng Cryptolocker
Требует купить: STEFFEVENDENG DECRYPTOR
<< Скриншот записки 


Обновление от 6 сентября 2017:
Пост в Твиттере >>
Расширение: .911
Записка: !SOS!.html

Обновление от 6 сентября 2017:
Пост в Твиттере >>
Вредонос подписан ЭЦП, выданной Comodo.
Расширение: .f41o1
Записка: READ_IT.html
Tor: cr7icbfqm64hixta.onion
<< Скриншот записки



Обновление от 8 сентября 2017:
Пост в Твиттере >>
Расширения: .YAYA, .needkeys.nWcrypt

Обновление от 10 сентября 2017:
Расширение: .foste
Записка: how_to_back_files.html
Email: fostecrypt@aol.com
Сумма оплаты: 0,5 BTC
<< Скриншот записки









Обновление от 11 сентября 2017:
Расширение: .crypt
Email: overrideloop@mail-on.us
overrideloop@tuta.io
Топик на форуме >>


Обновление от 12 сентября 2017:
Пост в Твиттере >>
Расширения: .reaGAN, .ReaGan
Записка: how_to_back_files.html
Email: Ronald_Reagan@derpymail.org
omnoomnoomf@aol.com
<< Скриншот записки







Обновление от 22 сентября 2017:
Расширение: ***нет данных***
Email: makgregorways@aol.com 
makgregorways@india.com
<< Скриншот записки (реконструкция)







Обновление от 6 октября 2017:
Расширение: .pliNGY
Email: plingyfiles@aol.com
Сумма выкупа: 2 BTC.

Обновление от 6 октября 2017:
Пост в Твиттере >>
Расширение: .POHU
Email: andrey.gorlachev@aol.com
Результаты анализов: VT

Обновление от 12 октября 2017:
Расширение: .crypt
Email: toolsent@tuta.io и toolsent@india.com

Обновление от 14 октября 2017:
Расширение: .foster
Записка: how_to_back_files.html
Email: fostecrypt@aol.com
<< Скриншот записки 







Обновление от 15 октября 2017:
Расширение: .fuck
Записка: how_to_back_files.html


Обновление от 16 октября 2017: 

Пост в Твиттере >>
Фальш-имя: Chartogy
Расширение: .Chartogy



Записка: how_to_back_files.html
Email: zuzya_next@aol.com
zuzyacrypt@india.com

<< Скриншот записки
Результаты анализов: VT







Обновление от 17 октября 2017: 

Пост в Твиттере >>
Фальш-имя: CHAK
Расширение: .CHAK
Записка: how_to_back_files.html
Email: mr_chack@aol.com и mr_chack33@india.com
Результаты анализов: VT


Обновление от 18 октября: 

Пост в Твиттере >>
Фальш-имя: LIN
Расширение: .LIN
Записка: how_to_back_files.html
Email: lin_chao1@aol.com и lin_chao1@india.com
Результаты анализов: VT

Обновление от 25 октября 2017:
Пост в Твиттере >>
Расширение: .fuck
Записка: how_to_back_files.html
Email: decoder_master@india.com
decoder_master@aol.com




Обновление от 30 октября: 

Пост в Твиттере >>
Расширение: ...doc
Записка: Read___ME.html
Tor: n224ezuhg4sgyamb.onion
Результаты анализов: VT
*


Обновление от 30 октября 2017:
Пост в Твиттере >>
Расширение: .decoder
Фальш-имя: Isoc Littlest
Записка: Instructions.txt
Email: decoder@keemail.me и decoder@expressmail.dk
Файлы: Desktop background.png 
Результаты анализов: HA+VT
<< Скриншот записки


Обновление от 11 ноября 2017:
Пост в Твиттере >>
1) Расширение: .<lxgiwyl@india.com>.AK47
Записка: #HOU_DECRYPT_ALL#.html
Email: lxgiwyl7@yahoo.com и lxgiwyl@india.com
Шифры: RC4 + RSA-2048
2) Расширение: .btc
Записка: instruction.html
Email: BM-2cWuBiTDADEdbDBqpSwkCin9yDprcbobjp@bitmessage.ch
BitMessage: BM-2cWuBiTDADEdbDBqpSwkCin9yDprcbobjp
Шифры: RC4 + RSA-2048
Результаты анализов: VT



Обновления от 11 ноября 2017:
Расширение: .{omnoomnoomf@aol.com}BIT
Email: omnoomnoomf@aol.com и Ronald_Reagan@derpymail.org
Записка: how_to_back_files.html
Результаты анализов: VT


Обновления от 11 ноября 2017:
Расширение: .TRUE
Записка: how_to_back_files.html
Email: true_offensive@aol.com 
true_offensive777@india.com
Результаты анализов: VT
<< Скриншот записки о выкупе
-
Расширение: .[proof3200@tutanota.com]
Результаты анализов: VT
-
Расширение: .[kps228@yandex.com]
Результаты анализов: VT


Обновление от 13 ноября 2017:
Расширение: .kimchenyn
Записка: how_to_back_files.html
Email: staer@cock.li и kimchenyn@india.com
Результаты анализов: VT + VT

Обновление от 14 ноября 2017:
Пост в Твиттере >>
Расширение: .SEXY
Записка: how_to_back_files.html
Email: sexy_chief@aol.com и sexy_chief18@india.com
<< Скриншот записки








Обновление от 16 ноября 2017:
Пост в Твиттере >>
Расширение: .PANDA
Записка: how_to_back_files.html
Email: greenpeace_wtf@aol.com и greenpeace_28@indoa.com
<< Скриншот записки



***
Пост в Твиттере >>
Расширение: .<colin_farel@aol.com>BIT
Записка: how_to_back_files.html
Email: colin_farel@aol.com
Результаты анализов: VT
<< Код из ресурсов


Обновление от 21 ноября 2017:
Пост в Твиттере >>
Расширение: .Ipcrestore
Записка: how_to_back_files.html
Email: Ipcrestore@outlook.com
Результаты анализов: HA+VT
<< Скриншот записки





Обновление от 22 ноября 2017:
Пример темы на форуме >>
Расширение: .deryptme
Записка: how_to_back_files.html
Email: sbgpork@tuta.io, sbgpork@india.com
Файлы: %AppData%\19 11_09 35.scr
Результаты анализов: HA+VT
<< Скриншот записки


Обновление от 1 декабря 2017:

Пост в Твиттере >>
Расширение: .abc
Дешифруется с Globe2 Decrypter >>
Результаты анализов: VT

Обновление от 1 декабря 2017:
Пост в Твиттере >>
🎥 Видеообзор >>  Спасибо GrujaRS
Расширение: .doc
Записка: Read___ME.html
URL: xxxx://troyriser.com/UYTd46732
Tor: n224ezvhg4sgyamb.onion/sup.php
n224ezvhg4sgyamb.onion.rip/shfgealjh.php
Сумма выкупа: 0.094-0.188 ($1000-$2000)
Файлы: <random>.exe, tmp<random>.tmp.bat
Результаты анализов: HA + VT + AR
Комбинированный скриншот записки и страниц onion-сайта



Обновление от 6 декабря 2017:
Пост в Твиттере >>
🎥 Видеообзор >>  Спасибо GrujaRS
Расширение: .crypt
Записка: how_to_back_files.html
Email: toolsent@india.com и toolsent@tuta.io
Файлы:  06.12.scr, <random>.exe, uafxg.zxs.crypt, tmpF9F6.tmp.bat, tmpF9F6.tmp
Результаты анализов: HA + VT 
<< Скриншот записки


Обновление от 8 декабря 2017:
Пост в Твиттере >>
Расширение: .arena
Составное расширение: .[paradisecity@cock.li].arena
Записка: FILES ENCRYPTED.html
Email: paradisecity@cock.li и paradisecity1@protonmail.com
Результаты анализов: VT


Обновление от 19 декабря 2017:
Пост в Твиттере >>
Расширение: .wallet
Записка: how_to_back_files.html
Email: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U@bitmessage.ch
BitMessage: BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U
<< Скриншот записки


Обновление от 20 декабря 2017:
Записка: instructions.html
Заголовок записки: HOW TO DECRYPT YOUR FILES
Email: helpforyou@airmail.cc
Расширение: .btc
<< Скриншот записки






Обновление от 20 декабря 2017:
Расширение: ..doc
Записка: Read___ME.html 
URL: xxxx://www.upperlensmagazine.com/tOldHSYW??DVTCGAtym=DVTCGAtym
Tor: n224ezvhg4sgyamb.onion/sup.php
Email: server5@mailfence.com
Подробная статья на BC >>
Результаты анализов: HA + VT



Обновление декабря без даты:
Расширения: .BIG2 и .big2
Email: bigbig_booty@aol.com и bigbig_booty@india.com
Записка: how_to_back_files.html
<< Скриншот записки
Содержание записки:
Your personal ID
***
English
☣ Your files are encrypted! ☣
To decrypt, follow the instructions below. 
To recover data you need decryptor.
 To get the decryptor you should:
Send 1 crypted test image or text file or document to  bigbig_booty@aol.com 
 (Or alternate mail  bigbig_booty@india.com )
In the letter include your personal ID (look at the beginning of this document).
We will give you the decrypted file and assign the price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
MOST IMPORTANT!!!
Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except bigbig_booty@aol.com, will decrypt your files.
•Only bigbig_booty@aol.com can decrypt your files
•Do not trust anyone besides bigbig_booty@aol.com
•Antivirus programs can delete this document and you can not contact us later.
•Attempts to self-decrypting files will result in the loss of your data
•Decoders other users are not compatible with your data, because each user's unique encryption key


=== 2018 === Russian + English ===


Обновление от 3 января 2018:
См. отдельную статью: Yoshikada Ransomware >>
Топик на форуме / Topic of Support >>
Название / Name in note: YOSHIKADA DECRYPTOR
Расширение / Extension: .crypted_yoshikada@cock_lu
Email: yoshikada@cock.lu
Записка / Ransom-note: how_to_back_files.html

Обновление от 5 января 2018 / Update on January 5, 2018:
Расширение / Extension: .{bentleysali@india.com}XX
Email: bentleysali@india.com
Записка / Ransom-note: how_to_back_files.html
Топик на форуме / Topic >>


Обновление от 16 января 2018 / Update on January 16, 2018:
Расширение / Extension: .encen
Email: brons@airmail.cc
Записка / Ransom-note: how_to_back_files.html
Пост на форуме / Topic >>


Обновление от 23 января 2018 / Update on January 23, 2018:
Пост в Твиттере / Tweet >>
Видеообзор / Video review >> 
Расширение / Extension: .crypted!
Email: parbergout@keemail.me
parbergout@india.com
sbgpork@tuta.io
Записка / Ransom-note: how_to_back_files.html
Результаты анализов / Analyzes: HA + VT
<< Скриншот записки




Обновление от 27 января 2018 / Update on January 27, 2018:
Расширение / Extension: .{BrabusDangers@india.com}XX
Email: BrabusDangers@india.com
Записка / Ransom-note: how_to_back_files.html
Топик на форуме / Topic >>

Обновление от 28 января 2018 / Update on January 27, 2018:
Расширение / Extension: .{mixifightfiles@aol.com}BIT
Email: mixifightfiles@aol.com
Записка / Ransom-note: how_to_back_files.html
Результаты анализов / Analyzes: VT

Обновление от 29 января 2018 / Update on January 29, 2018:
Пост в Твиттере / Tweet >>
Расширение / Extension: .DREAM
Записка / Ransom-note: how_to_back_files.html
Email: dream_dealer@aol.com и dream_dealer@india.com

Обновление от 31 января 2018 / Update on January 31, 2018:
Расширение / Extension: .crypt
Результаты анализов / Analyzes: HA + VT

Обновление от 2 февраля 2018:
См. отдельную статью: Yoshikada Ransomware >>
Топик на форуме / Topic of Support >>
Название / Name in note: ZERWIX DECRYPTOR
Расширение / Extension: .crypted_zerwix@airmail_cc
Email: zerwix@airmail.cc
Записка / Ransom-note: how_to_back_files.html


Обновление от 15 февраля 2018 / Update on February 15, 2018:

Пост в Твиттере >>
Расширение / Extension: .suddentax
Выкуп за всю сеть организации / Sum of ransom: - 2 BTC
Email: fileredeemer@protonmail.com
feleredeemer@tuta.io
BTC: 1NNMSMtmPEVg6HBF6NxvPrymHLAEkaXwGK
<< Скриншот записки / Screenshot of note: 
Результаты анализов: VT





Обновление от 2 марта 2018 / Update on 2 March, 2018:
Расширение / Extension: .$kunk
Записка / Ransom-note: how_to_back_files.html
Файл / File: IntelManagerService.exe
Результаты анализов: VT

Обновление от 2 марта 2018 / Update on 2 March, 2018:

🎥 Видеообзор от GrujaRS >> 
Пост в Твиттере >>
Расширение / Extension: .encrypt
Записка / Ransom-note: instructions.html
Заголовок записки: HOW TO DECRYPT YOUR FILES
Email: decryptingyourfiles@firemail.cc
Результаты анализов: VT
Однотипная версия представлена 20 декабря 2017 (см. выше).
<< Скриншот записки


Обновление 3 марта 2018:
Расширения: .BIG4 и .big4


Обновление от 3 марта 2018: 
Расширение: .[jakartatv@india.com]
Записка: how_to_back_files.html
Результаты анализов: VT

Обновление от 4 марта 2018: 
Расширение: .MENTO$
Записка: how_to_back_files.html
Результаты анализов: VT

Обновление от 6 марта 2018: 
Расширение: .gif или другое
Записки: Read_ME.txt и/или READ__ME.html
Вложенный вредоносный документ: Resume.doc
Используются макросы в документах MSOffice и проводится DDE-атака
Tor-URL: xxxx://djfl3vltmo36vure.onion/sdlskglkehhr
BTC: 3FsUnCs3ffr99nhVDXSQo5oih7Y643VokR 
BTC: 38D15QFm7HMCcxgng5jhDqHYaMZDqrDFKu
Скриншот Tor-сайта вымоагтелей
➤ Содержание txt-записки:
Your files are Encrypted!
For data recovery needs decryptor.
How to buy decryptor:
1. Download "Tor Browser" from hxxps://www.torproject.org/ and install it.
2. Open this link In the "Tor Browser"
hxxp://djfl3vltmo36vure.onion/sdlskglkehhr
Note! This link is available via "Tor Browser" only.
Your PERSONAL ID: 9F 0F 51 F3 82 7B 40 60 C2 14 32 54 51 79 8A F1 ***
 Содержание html-записки: 
Your files are Encrypted!
For data recovery needs decryptor.
How to buy decryptor: 
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.<br>
 2. Open this link   In the "Tor Browser"
http://djfl3vltmo36vure.onion/sdlskglkehhr
Note! This link is available via "Tor Browser" only.
9F 0F 51 F3 82 7B 40 60 C2 14 32 54 51 79 8A F1 ***
 
Скриншот записки без ID, который по умолчанию скрыт и загружается онлайн на ПК жертвы. Справа пример ID. 
Результаты анализов: HA + VT

Обновление от 9 марта 2018:
Пост в Твиттере >>
Расширение: .Nutella
Записка: how_to_back_files.html
Результаты анализов: VT


Обновление от 13 марта 2018:
Записка: FILES ENCRYPTED
Email: decrpt@tuta.io,
decrypthelp@protonmail.com
<< Скриншот записки








Обновление от 14 марта 2018: 
Расширение: .{GALAXYGUARDS@PROTONMAIL.COM}IQ
Записка: how_to_back_files.html
Результаты анализов: VT

Обновление от 14 марта 2018:
Расширение: .{GALAXYGUARDS@PROTONMAIL.COM}IQ
Email: GALAXYGUARDS@PROTONMAIL.COM
Результаты анализов: VT

Обновление от 15 марта 2018:
Расширение: .blockchain
Email: helpforyou@airmail.cc 


Обновление от 20 февраля 2018: 
Расширение: .waiting4keys
Записка: how_to_back_files.html
Результаты анализов: VT

Обновление от 25 февраля 2018: 
Расширение: .CRYPTED
Записка: how_to_back_files.html
Результаты анализов: VT

Обновление от 23 марта 2018: 
Расширение: .lock
Записка: doc.html (на украинском языке)
Сумма выкупа: 185$ в BTC
BTC: 17DLQHDd7uxoHqeLJUGj4igohoSiaA76Xb
Email:
systems32x@gmail.com
systems32x@yahoo.com
systems32x@tutanota.com
help32xme@usa.com
Additional.mail@mail.com
Адрес: 
Unlock files LLC
33530 1st Way South Ste. 102
Federal Way, WA 98003
United States

URL для обмена денег на биткоины: 
xxxs://e-btc.com.ua/
xxxs://btcu.biz/main/how_to/buy
xxxs://www.bestchange.ru/privat24-uah-to-bitcoin.html
Топик на форуме >>


Обновление от 28 марта 2018: 
Расширение: .crypted
Файл: IntelTheasurusService.exe
Записка: how_to_back_files.html
Email: crypto.support@aol.com
crypto.support@india.com
Топик на форуме >>
<< Скриншот записки






Обновление от 28 марта 2018: 
Пост в Твиттере >>
Расширение: .SEXY3
Записка: how_to_back_files.html
Email: sexy_chief11@aol.com
sexy_chief18@india.com
Результаты анализов: VT
<< Скриншот записки






Обновление от 28 марта 2018: 
Расширение: .[swon50@inbox.ru]
Записка: Как_вернуть_файлы.html
Email: swon50@inbox.ru
restor@tuta.io
Топик на форуме >>
Содержание записки:
Ваши файлы зашифрованы!
Ваше личное ID
4C 21 ***** 5D
Ваши важные документы, базы данных, программы, сохранение игр, документов, сетевые папки зашифрованы.
Никакие данные с вашего компьютера не были украдены или удалены.
Чтобы восстановить файлы, следуйте инструкциям.
Как получить автоматический дешифратор:
1) Создайте Кошелек и купите Bitcoins 
Создайте Биткойн Кошелек из этих сайтов: 
• https://blockchain.info/wallet 
Купить BTC на одном из этих сайтов: 
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.bestchange.com
2) Свяжитесь с нами по email : swon50@inbox.ru. и : restor@tuta.io В письме указывается ваш личный идентификатор (смотрите начало этого документа) и ip-адрес компьютера, на котором находятся файлы.
3) После ответа на ваш запрос наш оператор даст вам дальнейшие инструкции, которые будут показаны, что делать дальше (ответ вы получите как можно скорее)
* Чтобы удостовериться в расшифровке, вы можете отправить 1-2 зашифрованных файла в swon50@inbox.ru В письме укажите свой личный идентификатор ID (посмотрите на начало этого документа).
** Напишите здесь по почте для более быстрого ответа: restor@tuta.io 
Внимание!
• Не пытайтесь удалить программу или запустить антивирусные инструменты.
• Попытки самодешифрования файлов приведут к потере ваших данных.
• Мы не лжецы и мошенники. Вы платите - мы помогаем.
--- *** ---
Небольшое отступление:
Только что заметил, что в этой записке используются слова и предложения из моих переводов из английских записок. Например, это предложение скопировано полностью: Попытки самодешифрования файлов приведут к потере ваших данных.
И, как оказалось при сравнении, эта записка не первая — этот текст начали копировать раньше, начиная с июня прошлого года. Причем, не только распространители этого шифровальщика. При желании можете сами поискать эту фразу в Интернете или по этому сайту (см. в верхнем левом углу поле поиска. 

--- *** ---
Обновление от 3 апреля 2018: 
Расширение / Extension: .SAMBUKA
Email: sambuka_star@aol.com
sambuka_star@india.com
Записка: HOW_TO_BACK_FILES.html
Топик на форуме >>
<< Скриншот записки







Обновление от 10 апреля 2018: 
Расширение / Extension: .TRUE1 
Записка: HOW_TO_BACK_FILES.html
Email: true_offensive@aol.com
true_offensive777@india.com

Обновление от 12 апреля 2018: 
Расширение: .CRYPTED
Записка: HOW_TO_BACK_FILES.html
Email: crypto.supportt@aol.com 
crypto.support@india.com
Топик на форуме >>

Обновление от 15 апреля 2018: 
Расширение: .xxxxx или .XXXXX
Записка: HOW_TO_BACK_FILES.html
Email: x_mister@aol.com
x_mister@india.com
Топик на форуме >>
<< Скриншот записки







Обновление от 17 апреля 2018: 
Расширение: .SKUNK+
Email: skunkwoman_next@aol.com
skunkwoman@india.com
Записка: how_to_back_files.html
<< Скриншот записки








Обновление от 17 апреля 2018: 
Пост в Твиттере >>
Расширения:
.ALCO2+
.ALCO4+
.BUNNY+
.CRAZY+
.LIN+
Наметилась тенденция добавлять знаки "+" к ранее использованным расширениям.
Видимо словарный запас у вымогателей уже исчерпан. Теперь уже знаки добавляют. 

Апрель-май 2018:
Возможно, что были пропущены некоторые варианты. 
У меня нет информации за этот период времени. 
Сверяйтесь по сервису ID Ransomware >>

Обновление от 28 мая 2018:
Самоназвание: AOKI DECRYPTOR
Расширение: .crypted_aoki@airmail_cc
Записка: how_to_back_files.html
Email: aoki@airmail.cc
Скриншот записки >>


Обновление от 1 июня 2018:
Расширение: ..readme
Email: allfilereturn@outlook.com, allfilerereturn@cock.li
Telegram: @decryptionfiles
Пост на форуме >>
<< Скриншот записки

Обновление от 6 июня 2018: 
Расширение: .ihelperpc
Email: irestorei@cock.li
Записка: Read_Me.html
Топик на форуме >>
<< Скриншот записки








Обновление от 6 июня 2018:
Расширение: .emilysupp 
🎥 Видеообзор >>
Email: emilysupp@outlook.com
supp7@india.com
Топик на форуме >> 
Пост в Твиттере >>
<< Скриншот записки



Обновление от 8 июня 2018:
Расширение: .CRYPTED
Email-1: crypto.support@aol.com
Email-2: crypto.support@india.com)
Записка: how_to_back_files.html
Скриншот записки 

Топик на форуме >>







Обновление от 10 июня 2018:
Расширение: .Alkohol
Email-1: diesel_space@aol.com
Email-2: diesel_space@india.com
Записка: how_to_back_files.html
Топик на форуме >>








Обновление от 14 июня 2018:
Пост в Твиттере >>
Видеообзор от GrujaRS >>
Расширение: .BIG4+
Записка: how_to_back_files.html
Email-1: bigbig_booty@aol.com
Email-2: bigbig_booty@inda.com







Обновление от 14 июня 2018:

Расширение: .ONYX
Записка: how_to_back_files.html

Email-1: skunk_girl@aol.com
Email-2: skunk_girl@india.com










Обновление от 18 июня 2018:
Расширение: .MARK
Email-1: decoder_master@aol.com
Email-2: decoder_master@india.com
Записка: how_to_back_files.html
Топик на форуме >>










=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GlobeImposter, GlobeImposter 2.0)
 Write-up
 *
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie, Marcelo Rivero
 Andrew Ivanov, Alex Svirid, Mihay Ace
 xXToffeeXx
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton