суббота, 30 декабря 2017 г.

Bitcoin666

Bitcoin666 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Bitcoin666, но в записке не указано. На файле написано: bitcoin666.exe. Номер версии: 2.1.0.0.

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Variant.Ransom.HiddenTear.1

© Генеалогия: HiddenTear >> Bitcoin666

К зашифрованным файлам добавляется составное расширение: .bitcoin666@cock.li.word

Этимология названия:
Был такой сайт bitcoin666.org. Сейчас отключен. Видимо вымогатели позаимствовали это название.

Активность этого крипто-вымогателя, судя по выплатам, пришлась на январь-февраль 2018 г. Штамп времени 30 декабря 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover Files.TXT

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола:


Содержание записки о выкупе:
PC id: ***
ATTENTION!!! All your files are encrypted.
If you want to get your files back, you should pay me 0.3 BTC on the following address:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
You have only 24 hours since you received that e-mail, after that price will be 0.4BTC.
To prove that we can bring back your files, attach a file between 1~5mb to be decoded.
After recieving your payment I'll send you a simple program and encryption key for it.
NoterTrying to recover your files with another program may result in a fatal loss of all your files. Only the original decoder and key can bring all your files back.
You can buy bitcoins here: https://localbitcoins.com
Here's a FAQ how to buy and send bitcoins (any language):https://localbitcoins.com/faq
(P.S. NO EXCEPTIONS WILL BE MADE. EVERYONE HAVE TO PAY.)
Write us: bitcoin666@cock.li or ap0calypse@india.com

___
Красным цветом выделены слова с ошибками. 

Перевод записки на русский язык:
ПК id: ***
ВНИМАНИЕ!!! Все ваши файлы зашифрованы.
Если вы хотите вернуть свои файлы, вы должны заплатить мне 0,3 BTC на следующий адрес:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
У вас есть только 24 часа с момента получения этого email, после чего цена будет 0,4BTC.
Чтобы доказать, что мы можем вернуть ваши файлы, прикрепите файл размером 1~5 мб для декодирования.
После получения вашего платежа я пришлю вам простую программу и ключ шифрования.
Не пытайся восстановить ваши файлы с помощью другой программы может привести к фатальной потере всех ваших файлов. Только оригинальный декодер и ключ может вернуть все ваши файлы обратно.
Вы можете купить биткоины здесь: https://localbitcoins.com
Вот часто задаваемые вопросы о том, как купить и отправить биткоины (на любом языке): https://localbitcoins.com/faq
(P.S. НИКАКИХ ИСКЛЮЧЕНИЙ НЕ БУДЕТ. ВСЕ ДОЛЖНЫ ПЛАТИТЬ.)
Пишите нам: bitcoin666@cock.li или ap0calypse@india.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .cab, .dat, .dll, .log, .msi, .txt, .xml, .zip и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover Files.TXT
bitcoin666.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitcoin666@cock.li, ap0calypse@india.com
BTC: 1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 29 декабря 2017 г.

MadBit

MadBit Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отображается на экране с заголовком "madbit encryptor: Hello, you are encrypted!" и не сохраняется в текстовый файл. 
MadBit Ransomware

Содержание записки о выкупе:
***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<<
***After payment we will send you the decryption tool ,that will decrypt all your files.***
===FREE DECRYPTION AS GUARANTEE===
===Before paying you can send to us up to 1 files for free decryption===
Please note: that files must NOT contain valuable information and their total size must be less than 1Mb
=== Important information ===
YOUR COMPUTER UID : ***
COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru
================================================
***!WARNING!***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===

Перевод записки на русский язык:
*** !ВНИМАНИЕ! ***
*** ВАШ КОМПЬЮТЕР ИНФИЦИРОВАН ***
*** ВСЕ БАЗЫ ДАННЫХ, САЙТЫ И ДОМАШНИЕ ФАЙЛЫ ПОЛЬЗОВАТЕЛЕЙ ЗАШИФРОВАНЫ ***
================================================
>>> Вам надо заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам <<<
*** После оплаты мы отправим вам инструмент дешифровки, который дешифрует все ваши файлы. ***
=== БЕСПЛАТНОЕ ДЕШИФРОВАНИЕ КАК ГАРАНТИЯ ===
=== Перед оплатой вы можете прислать нам 1 файл для бесплатной дешифровки ===
Заметьте: файлы не должны быть содержать ценную информацию и быть меньше 1 Мб
=== Важная информация ===
ВАШ UID КОМПЬЮТЕРА: ***
КОПИРУЙ И ОТПРАВЬ ВАШ UID НА EMAIL : adaline.lowell.85@mail.ru
================================================
*** !ВНИМАНИЕ! ***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsProcessor.exe (Cmd.Exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adaline.lowell.85@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as MadBit)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 26 декабря 2017 г.

Rozlok

Rozlok Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на почту, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: enbild.exe или что попало. 

Обнаружения: 
DrWeb -> Trojan.Encoder.24132
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 
Ещё один украинский вымогатель, пытающийся писать по-русски. 

Этимология названия: 
Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro. 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Все ваши файлы и данные зашифрованны.Для дешифровки свяжитесь с нами : rozlok@protonmail.com .Чем дольше мы ждём-тем больше.Вам придёться заплатить.

Перевод записки на НОРМАЛЬНЫЙ русский язык:
Все ваши файлы и данные зашифрованы. Для дешифровки свяжитесь с нами: rozlok@protonmail.com . Чем дольше мы ждём, тем больше Вам придётся заплатить.

Translation into English:
All your files and data are encrypted. For decryption please contact us: rozlok@protonmail.com. The longer we wait, the more you will have to pay.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

Подробности по пропуску файлов и папок см. в статье Pulpe Ransomware.
Всё, по всей видимости, аналогично. 

Файлы, связанные с этим Ransomware:
Instruction.txt
<random>.exe
enbild.exe

Файлы-источники (позже тоже были зашифрованы):
enbild.exe.aes
enbild.exe_pass_123.zip.aes

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt
\ProgramData\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rozlok@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support + later Topic
 🚫 В 1-й теме помощи ошибочно назван как Vortex. 
 Thanks: 
 Пострадавшим из темы поддержки
 Alex Svirid
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Tastylock CryptoMix

Tastylock CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: 1tasty.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > Tastylock Cryptomix  

К зашифрованным файлам добавляется расширение .tastylock

Примеры зашифрованных файлов:
30A877A2136A7E24D444157B15AE5D3C.tastylock
5ABF69D81E581666A4EAB15C2080F86E.tastylock
067CAA001A4D3B12F9F317001D5B1BFE.tastylock

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
All you files an encrypted!
For decrypt write DECRYPT ID to t_tasty@aol.com
YOU DECRYPT-ID-%s number
!!!ATTENTION!!!
Do not change!
Do not move files!
Do not use other programs (they do not work)!
You can lose your files if you do not follow the instructions!

Перевод записки на русский язык:
Все твои файлы зашифрованы!
Для дешифровки напиши DECRYPT ID на t_tasty@aol.com
Твой DECRYPT-ID-%s number
!!!ВНИМАНИЕ!!!
Не менять!
Не перемещайте файлы!
Не используйте другие программы (они не работают)!
Ты можешь потерять твои файлы, если ты не следуешь инструкциям!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
1tasty.exe
<random>.exe
BC8E11C52E.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
%ALLUSERSPROFILE%\BC8E11C52E.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  t_tasty@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это 900-й пост в блоге!!!

Pulpy

Pulpy Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные на сайтах с помощью AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на email вымогателей, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: 1d Ptin.exe или enbild.exe. 

Обнаружения: 
DrWeb -> Trojan.Encoder.24132
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok

Этимология названия: 

Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro. 

К зашифрованным файлам добавляется расширение .AES

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hi, all your files have been encrypted. You can decipher if you write to me on the mail:pulpy2@cock.li  Otherwise, all your files will be deleted within 2 days without any problems!

Перевод записки на русский язык:
Привет, все ваши файлы зашифрованы. Вы можете расшифровать, если напишите мне на почту: pulpy2@cock.li Иначе все ваши файлы удалятся через 2 дня без проблем!

Другой вариант записки о выкупе был немного короче:
Hi all your files are encrypted, to decrypt all your files write to us on the mail: pulpy@protonmail.ch

Перевод другой записки на русский язык:
Привет все ваши файлы зашифрованы, для дешифровки всех ваших файлов пишите нам на email: pulpy@protonmail.ch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Также используются названия: ShiOne, Pulpy & Rasoon. Согласно сообщению

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

При поиске пропускаются папки, в имени которых есть: 
Program Files
ProgramData
C:\Users\All Users\Microsoft
AppData
C:\Drivers
Windows
WINDOWS
windows
\Desctop  - с ошибкой вместо Desktop, поэтому на реальном Рабочем столе файлы будут зашифрованы

При поиске пропускаются также файлы с расширениями: 
.aes, .ani, .CAB, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dmp, .drv, .hlp, .icl, .ico, .icons, .lnk, .mod, .msp, .msstyles, .ocx, .rtp, .settingcontent-ms, .sys, .SYS, .themepack и файлы bootmgrBOOTNXT

Не шифрует файлы, которые находятся в следующих директориях:
bootmgr

BOOTNXT
Program Files
Windows
ProgramData
C:\Users\All Users\Microsoft
C:\Users\Default\AppData\Roaming\Microsoft
AppData
AppData\Local\Packages

Не шифруются файлы с расширениями: 
.accdb, .b2, .db, .dbf, .mdb, .mdf, .sdf, .sis и размером более 10 Мб.

Файлы, связанные с этим Ransomware:
Instruction.txt
1d Ptin.exe
enbild.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxx://gooool.org/fnu 
Email: pulpy2@cock.li 
pulpy@cock.li
pulpy@protonmail.ch
См. ниже результаты анализов.

Закрытый статичный RSA-ключ и текст записки:

Результаты анализов:
VirusBay ссылка >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ на сайт и файл >>
IntezerAnalyze >>
ANY.RUN анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 января 2018 / Update on January 26, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: dexp@cock.li
Содержание записки / Contents of note: 
Hi, All your files are encrypted. I can only help you, my mail: - Your personal number (send it to me): dexp@cock.li

Обновление от 30 января 2018 / Update on January 30, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: diesel@nuke.africa
Содержание записки / Contents of note: 
Hello, all your files are irrevocably encrypted, to restore the data write to me on the mail: diesel@nuke.africa send your personal ID: ***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 (victim in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

понедельник, 25 декабря 2017 г.

STOP

STOP Ransomware

STOP-Keypass Ransomware

STOP-Djvu Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

STOP variants: shadow, djvu, pdff, tro, tfude, rumba, adobe, blower, promos, promoz, promock, promok, promoks, promorad, kroput, charck, pulsar1, klope, kropun, charcl, doples, luces, luceq, chech, proden, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, berost, forasom, fordan, codnat, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, pidon, poret, heroset, boston, myskle, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak

STOP subvariants: djvu*, *djvu, *djvu*, **djvu, djvu**, tfude*, adobe*, promo*, promo**, promorad*,  kropu*, kropun*, charc*, luce*, grova*, .codnat* 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CFB) и, позже, с помощью других алгоритмов. Шифруется не весь файл, а только около 0x500000 байт (~5 Мб) данных в начале каждого файла. Затем требует выкуп в $200-$600 в BTC, чтобы вернуть файлы. Оригинальное название: STOP. На файле написано: что попало. Среда разработки: C++ с компиляцией в MS Visual Studio 2013 (позже стала использоваться более новая версия Visual Studio 2017 или более новая). 
   Есть данные, что STOP Ransomware с вариантами распространяется из Украины. Как отвлекающий маневр злоумышленниками используется русский язык и русские слова, написанные английским буквами, также используются домены, зарегистрированные через российские компании-регистраторы. У вымогателей, вероятно, есть пособники в других странах. 
   Нет никаких громких сообщений от правоохранительных органов европейских стран, Европола и Интерпола, видимо они не получали никаких указаний для поиска и ареста вымогателей. Нет никакой надежды, что они когда-либо будут их искать, не получив указаний от руководства, или имеется очень мало обращений от пострадавших, чтобы инициировать расследование. Пишите онлайн-заявление в отдел "К" или полицию в своей стране и регионе. 

----------------------------------------------------------------------------------------------------------------------
Подробнее о шифровальщиках семейства STOP

➤ Специалисты Dr.Web расшифровали в частном порядке файлы, зашифрованные некоторыми вариантами этого Ransomware. Публичный дешифровщик Dr.Web не выпустили. 

➤ Специалист по шифровальщикам Майкл Джиллеспи (США) сумел создать свой дешифратор для некоторых версий и вариантов STOP (puma, djvu, pdff, tro, tfude, rumba и прочих), когда шифровальщик использует для шифрования оффлайн-ключ.  

➤ Прямые ссылки есть после статьи в разделе "БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS"

© Генеалогия: STOP > SUSPENDED > WAITING > PAUSA > CONTACTUS > DATASTOP > STOPDATA > KEYPASS > WHY > SAVEfiles > DATAWAIT > INFOWAIT > puma, pumax, pumas > shadow > djvu с вариантами > pdff, tro, tfude с вариантами > rumba > adobe с вариантами > blower > promos с вариантами > kroput с вариантами > charck с вариантами pilsar1, klope > doples > luces с вариантами > chech, proden > drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, berost, forasom, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, pidon, poret, heroset, boston, myskle, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak

!!! Новые варианты и способы расшифровки смотрите после основной статьи. 
!!! New variants and ways to decrypt, see after the article about the first variant of STOP Ransomware.

Разделение на группы и подгруппы / Division into groups and subgroups:

STOP group
STOP subgroup: STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA
KEYPASS subgroup: .KEYPASS, .WHY, .SAVEfiles 
DATAWAIT subgroup: .DATAWAIT, .INFOWAIT 

Puma group: .puma, .pumax, .pumas, .shadow

Djvu group
Djvu-1 subgroup: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu
Djvu-2 subgroup: .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee
Promo subgroup: .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .kropun1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden 
Drume subgroup: .drume, .tronas, .trosak, .grovas, grovat, roland, refols, raldug, .etols 
Guvara subgroup.guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .pidon, .poret, .heroset, .boston, .myskle, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak

----------------------------------------------------------------------------------------------------------------------
Обнаружения: 
DrWeb -> Trojan.Encoder.26314, Trojan.Encoder.26995, Trojan.Encoder.26996, Trojan.Encoder.27776, Trojan.Siggen8.5440, Trojan.Siggen8.16294, *.16299, *.20167, *.20394, *.21202, *.23665, *.26996, Trojan.MulDrop8.58033, *.58040, Trojan.DownLoader28.16, Trojan.PWS.Stealer.24943, Trojan.Faker.12 
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.Ransom.Stop.A, DeepScan:Generic.Ransom.Stop.*, Trojan.GenericKD.31342714, *.31369885, *.31500621, *.31514824, *.31517950, *.31534187, *.31534080, *.31575808, .31691360, *.31787961, *.31789478, *.31806757, *.31809991, *.31822410, *.31823954, *.31838431, *.40765609, *.40841043, *.40878732, *.40887380, *.41139976, *.41149918, *.41197210, *.41257217, *.41271436 
Kaspersky -> Trojan.Win32.Scar.rmry, Trojan.Win32.Scar.rsps, Trojan-PSW.Win32.Coins.nrc, *.pek, *.qvc, Trojan-Banker.Win32.Jimmy.brm, *.czf, Trojan.Win32.Agent.qwiwes, Trojan.Win32.Chapak.cyho
➤ Подробный список обнаружений см. в конце статьи. 
----------------------------------------------------------------------------------------------------------------------


Подробнее о первой версии шифровальщика

К зашифрованным файлам добавляется расширение .STOP

Ранняя активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Позже были разные варианты обновлений. 

Записка с требованием выкупа называется: !!!YourDataRestore!!!.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .STOP extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email stopfilesrestore@bitmessage.ch send us an email your !!!YourDataRestore!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
E-mail address to contact us:
stopfilesrestore@bitmessage.ch
Reserve email address to contact us:
stopfilesrestore@india.com

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .STOP зашифрованы.
Шифрование выполнено с уникальным секретным ключом RSA-1024, созданным для этого компьютера.
Чтобы расшифровать ваши файлы, вам нужно получить секретный ключ + программу дешифрования.
Чтобы получить секретный ключ и программу дешифрования, вам нужно связаться с нами по email stopfilesrestore@bitmessage.ch, пришлите нам d в вашем письме, пожалуйста, свой файл !!!YourDataRestore!!!.txt и дождитесь дальнейших инструкций.
Для вас, конечно, мы можем расшифровать ваши файлы - вы можете отправить нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в оригинальной форме БЕСПЛАТНО.
Цена для дешифровки $600, если вы обратитесь к нам за 72 часа.
Ваш личный идентификатор:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
Email-адрес для связи с нами:
stopfilesrestore@bitmessage.ch
Резервный email-адрес для связи с нами:
stopfilesrestore@india.com



Технические детали

   Многие свидетельства говорят, что он попадает на компьютер после скачивания и запуска перепакованных и заражённых инсталляторов популярных программ, пиратских активаторов MS Windows и MS Office (KMSAuto Net, KMSPico и пр.), которые злоумышленники распространяют через популярные сайты. Это касается как законно-бесплатных, так и незаконно-бесплатных программ (подробнее). 

Crackithub.com, kmspico10.com — одни из сайтов распространителей STOP Ransomware. Любая скачанная оттуда программа может быть заражена этим вымогателем. 
Примеры инфицированных программ и сайтов:
xxxxs://crackithub.com/adobe-acrobat-pro/
xxxxs://crackithub.com/easyworship-7-crack/
xxxxs://kmspico10.com/
xxxxs://kmspico10.com/office-2019-activator-kmspico/

  Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

 Вскоре после запуска исполняемый файл шифровальщика семейства STOP подключается к C&C, получает ключ шифрования и идентификатор заражения для ПК жертвы жертвы. Данные передаются по простому HTTP в виде JSON.

  Если C&C недоступен (ПК не подключен к Интернету, сам сервер не работает), то шифровальщик использует жёстко закодированные в нём самом ключ и идентификатор, и выполняет автономное шифрование. В этом случае можно будет дешифровать файлы без уплаты выкупа. 

  Используется алгоритм AES-256 в режиме CFB с нулевым IV и единым 32-байтным ключом для всех файлов. Шифруются максимум 0x500000 байт (~ 5 МБ) данных в начале каждого файла.

 Использует rdpclip.exe для замены легального файла Windows и для проведения атаки на компьютерную сеть. 
 В коде есть гены TeamViewer. 
➤ После шифрования файлов шифровальщик самоудаляется с помощью командного файла delself.bat

Список файловых расширений, подвергающихся шифрованию:
Все или почти все популярные форматы. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
!!!YourDataRestore!!!.txt
rdpclip.exe
delself.bat
<random>.exe
encrypt.pdb - файл проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\delself.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: stopfilesrestore@bitmessage.ch
stopfilesrestore@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.


Примечание 1. 
В мае 2018 года я обнаружил новый файл шифровальщика и загрузил его на сервисы для анализа. По всей видимости он был выпущен в марте 2018, но ранние версии относятся к декабрю 2017 года. 
Результаты анализов: VT + HA + IA + VMRay




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== 2018 ===

Обновление от 10 февраля 2018 / Update on February 10, 2018:
Расширение / Extension: .STOP
Записка / Ransom note: !!!YourDataRestore!!!.txt
Email: stopfilesrestore@bitmessage.ch и stopfilesrestore@india.com
Сумма выкупа: $600
BTC: PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducdELub

Сравнение идентификаторов обоих версий

----------

Обновление от 22 февраля 2018 / Update on February 22, 2018:
Топик на форуме / Topic on forum >>
Расширение / Extension: .SUSPENDED
Email: suspendedfiles@bitmessage.ch и suspendedfiles@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note!!!RestoreProcess!!!.txt
➤ Содержание записки / Contents of note
All your important files were encrypted on this PC.
All files with .SUSPENDED extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email suspendedfiles@bitmessage.ch send us an email your !!!RestoreProcess!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
5QDwX38ApBptxAvLONsohcyWyDsZhoeW15Gxxxxx
E-mail address to contact us:
suspendedfiles@bitmessage.ch
Reserve email address to contact us:
suspendedfiles@india.com
----------

Обновление от 18 апреля 2018 / Update on April 18, 2018:
Топик на форуме >> 
Пост пострадавшего >>
Расширение / Extension: .WAITING
Email: waiting@bitmessage.ch и waiting@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note: !!!INFO_RESTORE!!!.txt

➤ Содержание записки / Contents of note
All your important files were encrypted on this PC.
All files with .WAITING extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email waiting@bitmessage.ch send us an email your !!!INFO_RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
8AphcBpFgAZhoeW8ApBpBptxAW8FgAeWFgHxxxxx
E-mail address to contact us:
waiting@bitmessage.ch
Reserve email address to contact us:
waiting@india.com
----------

Обновление от 5 мая 2018 / Update on May 5, 2018
Пост в Твиттере / Tweet >>
Расширение / Extension: .PAUSA
Email: pausa@bitmessage.ch, pausa@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note: !!RESTORE!!!.txt
➤ Содержание записки / Contents of note
All your important files were encrypted on this PC.
All files with .PAUSA extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email pausa@bitmessage.ch send us an email your !!!RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
22rZV3sUi30y8SUhF1xB1hWqtGsYyUBiFInxxxxx [40 chars]
E-mail address to contact us:
pausa@bitmessage.ch
Reserve e-mail address to contact us:
pausa@india.com
----------

Обновление от 30 мая 2018 / Update on May 30, 2018
Пост в Твиттере / Tweet >>
Расширение / Extension: .CONTACTUS
Email-1: decryption@bitmessage.ch
Email-2: decryption@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom-note: !!!!RESTORE_FILES!!!.txt
➤ Содержание записки / Contents of note:All your important files were encrypted on this PC.
All files with .CONTACTUS extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to CONTACTUS us by email decryption@bitmessage.ch send us an email your !!!RESTORE_FILES!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
223sUUrZi3SV1x0y8hsYyUFBqtI1hWnBiFGxxxxx [40 chars]
E-mail address to contact us:
decryption@bitmessage.ch
Reserve e-mail address to contact us:
decryption@india.com
----------


Обновление от 18 июля 2018:
Пост в Твиттере >>
Расширение: .DATASTOP
Записка: !!!DATA_RESTORE!!!.txt
Email-1: decryptiondata@bitmessage.ch
Email-2: decryptiondata@india.com
➤ Содержание записки / Contents of note:
All your important files were encrypted on this PC.
All files with .DATASTOP extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email decryptiondata@bitmessage.ch send us an email your !!!DATA_RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Your personal id:
***** [40 alphanum]
E-mail address to contact us:
decryptiondata@bitmessage.ch
Reserve e-mail address to contact us:
decryptiondata@india.com
---
*[40 alphanum]  — комбинация букв и чисел (алфавит-цифры, буквы-цифры), например: DYByph8YTcW5SRcFDZ4GQdBfG5aOLNF9mFFLgm5R


Обновление от 22 июля 2018:
Расширение: .STOPDATA
Записка: !!!RESTORE_DATA!!!.txt
Email: datadecryption@bitmessage.ch, datadecryption@india.com
➤ Содержание записки / Contents of note:
All your important files were encrypted on this PC.
All files with .STOPDATA extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email datadecryption@bitmessage.ch send us an email your !!!RESTORE_DATA!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $200 if you contact us first 72 hours.
Your personal id:
pSRcFGQdBDYBZfaO5DLNLgmF9mFF5Rh84GyYTcW5
E-mail address to contact us:
datadecryption@bitmessage.ch
Reserve e-mail address to contact us:
datadecryption@india.com



Обновление от 9 августа 2018:
Пост в Твиттере >>
Расширение: .KEYPASS
Записка: !!!KEYPASS_DECRYPTION_INFO!!!.txt
Email: keypass@bitmessage.ch, keypass@india.com
По данным сервиса ID Ransomware есть пострадавшие из 25 стран: Бразилия, Чили, Вьетнам, США, ОАЭ, Египет, Алжир, Индонезия, Индия, Иран, Польша, Беларусь, Украина и другие.  



➤ Содержание записки / Contents of note:
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KEYPASS
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail keypass@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $300. 
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
keypass@bitmessage.ch
Reserve e-mail address to contact us:
keypass@india.com
Your personal id:
[redacted 40 alphanum]
---
*[40 alphanum]  — комбинация букв и чисел (алфавит-цифры, буквы-цифры), например: DYByph8YTcW5SRcFDZ4GQdBfG5aOLNF9mFFLgm5R
Результаты анализов: VT + HA + IA + VMRay
Статьи по этой версии: BCSL

Некоторые антивирусные компании и отдельные исследователи заявили, что это "новый" Ransomware. На самом деле это ложь и PR (самопиар), либо заблуждение. Они не отслеживали с декабря прошлого года распространение вредоносов этого семейства Ransomware, а у нас здесь полная выкладка по версиям. 
На скриншотах из Intezer-анализа видно, что в коде варианта STOP-KEYPASS тот же код, что и в изначальном Stop Ransomware, его самоназвание также, как у оригинального - Stop



Обновление от 23 августа 2018:
Пост в Твиттере >>
Тоже самое, только изменен email-адрес
Email: BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
keypassdecrypt@india.com


Обновление от 21 августа 2018:
Пост в Твиттере >>
Расширение: .WHY
Email: decryptionwhy@india.com
BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Записка: !!!WHY_MY_FILES_NOT_OPEN!!!.txt
➤ Содержание записки / Contents of note:
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .WHY
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600.
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Reserve e-mail address to contact us:
decryptionwhy@india.com
Your personal id:
[redacted 40 alphanum]
Результаты анализов: VT

Обновление от 10 сентября 2018:
Расширение: .SAVEfiles
Записка: !!!SAVE_FILES_INFO!!!.txt

Email-1: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
URL: xxxx://xxxart.pp.ua (193.200.255.27, Украина)
➤ Содержание записки: 
WARNING!
Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $500.
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id:[redacted 40 mixed alphanum]
Файл: urpress.exe
Результаты анализов: HA + VT + IA
Подробности:
Эта слегка измененная версия STOP Ransomware теперь распространяется с помощью набора эксплойтов Fallout Exploit Kit, который является обновленной версией набора Nuclear Pack и продается на подпольных форумах. См. также статью на BleepingComputer.com

Обновление от 7 ноября 2018:
Пост в Твиттере >>
Пост на форуме >>
🎥 Видеообзор от CyberSecurity GrujaRS >>
Статус: Можно дешифровать файлы!
Расширение: .DATAWAIT
Email-1: BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
Записка: !readme.txt
➤ Содержание записки:
======================!ATTENTION PLEASE!======================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .DATAWAIT
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id: 
***
Среда разработки: Visual Studio 2017
Оригинальный путь проекта: "C:\Users\w1nax\Documents\Visual Studio 2017\Projects\EncryptionWinAPI\Release\encrypt_win_api.pdb"
Результаты анализов: VT

Обновление от 18 ноября 2018:
Пост в на форуме >>
Статус: Можно дешифровать файлы!
Расширение: .INFOWAIT
Записка: !readme.txt
Email-1: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
Malicious URL-address
xxxx://jordan9908.ru
xxxx://intersys32.com
xxxx://paulmcnagets.ru
➤ Содержание записки:
======================!ATTENTION PLEASE!======================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .INFOWAIT
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $290 if you contact us first 72 hours.
==============================================================
E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id:
004pC14sUTfAHWBctu0HASCIEXPjudXuubBpVLBpAGD
Примечание: 
Прикидывается Windows-обновлением и использует ресурс TeamViewer.
Файл: update.exe
Результаты анализов: VT + HA + VMRay

Обновление от 22 ноября 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .puma
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
URL: smallcore.ru
Результаты анализов: VT + HA + VB + IA + AR
➤ Содержание записки: 
====================!ATTENTION PLEASE!====================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
=====================================================
E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id:
***
---
Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 24 ноября 2018:
Пост на форуме >>
Пост в Твиттере >>
Пост на форуме (от 25 апреля 2019) >>
Расширение: .pumax
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Результаты анализов: VT + HA
 Содержание записки: 
====================!ATTENTION PLEASE!====================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumax
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original 
form FREE.
Discount 50% avaliable if you contact us first 72 hours.
=====================================================
E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id:
***
---
Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 27 ноября 2018:
Пост в Твиттере >>
Расширение: .pumas
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Результаты анализов: ---
 Содержание записки: 
====================!ATTENTION PLEASE!====================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumas
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
=====================================================
E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id:
0082h9uE76Ax*****
---
Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 5 декабря 2018:
Топик на форуме >>
Расширение: .shadow
Записка: !readme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc
➤ Содержание записки:
----------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
helpshadow@india.com
Reserve e-mail address to contact us:
helpshadow@firemail.cc
Your personal ID:
012jxBsekmbsbW******


Обновление от 13 декабря 2018:
Топик на форуме >>
Расширение: .djvu
Это вариант может модифицировать файл hosts. 
Записка: _openme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc
➤ Содержание записки:
----------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
helpshadow@india.com
Reserve e-mail address to contact us:
helpshadow@firemail.cc
Your personal ID:
1shjkfG3kjf48j******
---
Статус: Можно дешифровать файлы!
Варианты Djvu используют Salsa20 с посоленным паролем. Поэтому атака, используемая в случае с вариантами STOP-Puma для извлечения ключей, уж не может быть проведена. Для дешифрования используется другой метод с использованием offline ID и ключа. Есть еще способ восстановления файлов, т.к. они зашифрованы не полностью, но мало шансов для пострадавших самим исправить кучу зашифрованных файлов. 


Обновление от 19 декабря 2018:
Пост на форуме >>
Расширение: .djvuu
Записка: _openme.txt
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc
➤ Содержание записки:
----------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
https://vimeo.com/306940477
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
016OHhD5IvvfLF******

Видеоролик показа дешифрования: https://vimeo.com/306940477



Обновление от 23 декабря:
Расширение: .udjvu
Записка: _openme.txt

Обновление от 25 декабря:
Пост на форуме >>
Расширение: .uudjvu
Записка: _openme.txt
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc

Обновление от 27 декабря:
Пост на форуме >>
Расширение: .djvuq
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc
Записка: _openme.txt
➤ Содержание записки: 
----------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
https://vimeo.com/306940477
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
019XEtg6TK9aEoH******
Результаты анализов: VT

Обновление от 30 декабря 2018: 
Пост на форуме >>
Пост на форуме >>
Расширение: .djvus 
Записка: _openme.txt
➤ Содержание записки: 
---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED ----------------------------------------------- 
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
https://vimeo.com/306940477
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
020d3aVs3450IfsRu******


=== 2019 ===

Обновление от 4 января 2019: 
Расширение: .djvur
Записка: _openme.txt
Сумма выкупа: ~500$ в BTC
Email: restoredjvu@india.com
restoredjvu@firemail.cc
 Содержание записки: 
---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED ----------------------------------------------- 

Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
https://vimeo.com/309338421
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
021kXpx7rPU5cXE2lpqa******


Обновление от 7 января 2019: 
Расширение: .djvut
Записка: _openme.txt
Email: restoredjvu@india.com
restoredjvu@firemail.cc
Содержание записки, как и прежде. 

Обновление от 9 января 2019: 
Расширение: .djvup
Записка: _openme.txt
Email: restoredjvu@india.com
restoredjvu@firemail.cc
Содержание записки, как и прежде. 

Обновление от 10 января 2019 - это уже было 13 декабря 2018:
Расширение: .djvu
Записка: _openme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc
Содержание записки, как и прежде. 


Обновление от 10 января 2019:
Пост в Твиттере >>
Расширение: .pdff
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Первые пострадавшие: Ближний Восток

 Содержание записки: 
---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED ----------------------------------------------- 
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can download video overview decrypt tool:
https://www.sendspace.com/file/1sg7f3
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
***** [44 chars]




Обновление от 10 января 2019:
Пост в Твиттере >>
Расширение: .djvuq
Записка: _openme.txt
Результаты анализов: VT

Новые образцы STOP от 10 января 2019: 
Эти варианты могут модифицировать файл hosts.
VT + VT + VT + VT + VT
HA + HA + HA + HA + HA

Обновление от 11 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .tro
Это вариант может модифицировать файл hosts (подробное описание). 
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc
URL-malware: xxxx://morgem.ru/xxx/
Здесь /xxx/ - реальная директория сайта. 
Файл EXE: msoffice.exe
Результаты анализов: VT + VT
Статус: файлы можно дешифровать!

Обновление от 12 января 2019:
Пост в Твиттере >>
Расширение: .tfude
Записка: _openme.txt 
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Первые пострадавшие из ЮАР. 
Статус: файлы можно дешифровать!

Обновление от 16-17 января 2019:
Расширение: .tfudeq
Расширение: .tfudet
Записка: _openme.txt 
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записки аналогичны предыдущему варианту. Добавлена другая ссылка на видео и цена в долларах. 
Результаты анализов (расширение .tfudet): VT + VT

Статус: файлы можно дешифровать! 

Обновление от 19 января 2019:
Пост на форуме >>
Расширение: .rumba
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Пострадавшие из этих стран: Египет, Греция, Турция, Бразилия, Чили, Эквадор, Венесуэла, Германия, Польша, Украина, Венгрия, Индонезия, Таиланд, Южная Корея, Малайзия... и многие другие. 
Вероятно, распространяется как поддельное обновление Windows или со взломанными программами. 
Записка: _openme.txt 
 Содержание записки: 
---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED ----------------------------------------------- 
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://files.danwin1210.me/uploads/01-2019/Decrypt%20Software%20Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
027Ed2X2xVaP4r9QNbCsbfMv*******************
Результаты анализов: VT
Статус: файлы можно дешифровать!


Обновление от 23 января 2019:
Пост на форуме >>
Расширение: .adobe
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записка: _openme.txt 
 Содержание записки:
---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------------------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-wlvjUfRfvM
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
---------------------------------------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
028wCwvYIsdzCAQiWEKBLQLuGTfoN12iIWsEuSns***
---
Результаты анализов: VT
Статус: файлы можно дешифровать!

Обновление от 27 января 2019:
Пост в Твиттере >>
Расширение: .adobee
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записка: _openme.txt 


Обновление от 3 февраля 2019:
Мой пост в Твиттере >>
Пост на форуме >>  Пост на форуме >> 
Расширение: .blower
Email: blower@india.com, blower@firemail.cc
Записка: _readme.txt
 Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-1aaC7npeV9
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam/' folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
blower@india.com
Reserve e-mail address to contact us:
blower@firemail.cc
Your personal ID:
030GHsgdfT7878YsY9gsafL***
---
URL malware: 
xxxx://rosalos.ug/
xxxx://belyi.ug/
xxxx://newbie.ug/
xxxx://rosalos.ug/xxx/1.exe
xxxx://rosalos.ug/xxx/2.exe
xxxx://rosalos.ug/xxx/3.exe
xxxx://rosalos.ug/xxx/updatewin.exe
xxxx://rosalos.ug/xxx/updatewin1.exe
xxxx://rosalos.ug/xxx/updatewin2.exe
xxxx://rosalos.ug/xxx/TYtuystydftusdfyuyUYT*****
Другие файлы EXE: 8651.tmp.exe, hehjrebu.exe, install.exe, vsruwcaw.exe
Результаты анализов: VT + VT + HA + VX + VT

Статус: файлы можно дешифровать!

Обновление от 20 февраля 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .promos
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
 Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-mlQvroK6UO
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
blower@india.com
Reserve e-mail address to contact us:
blower@firemail.cc
Your personal ID:
033Vvbsh8HaaVTB4x1YEJ5Z***
Статус: файлы можно дешифровать!

Обновление от 28 февраля 2019:
Пост в Твиттере >>
Расширение: .promoz
Записка: _readme.txt
Email: blower@firemail.cc
Статус: файлы можно дешифровать!

Обновление от 1 марта 2019:
Пост в Твиттере >>
Пост на форуме >>
Пост на форуме >>
Расширение-1: .promock
Пострадавшие из Венесуэлы
Расширение-2: .promorad
Пострадавшие из Колумбии. 
Email: blower@india.com, blower@firemail.cc
Записка: _readme.txt 
 Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-ll0rIToOhf
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
blower@india.com
Reserve e-mail address to contact us:
blower@firemail.cc
Your personal ID:
03xxXXxXxXxXxXxXxXxXxXXxxXXXxxxXXXXXXxxXXXXxXXxxxxXXxxXXx
Статус: файлы можно дешифровать!

Подробности про вариант с расширением .promorad
URL malware: ymad.ug
Зарегистрирован якобы русскими, но из whois-описания видно, что это обман. 
Подробности:
xxxx://ymad.ug/tesptc/ck/updatewin1.exe
xxxx://ymad.ug/tesptc/ck/updatewin2.exe
xxxx://ymad.ug/tesptc/ck/updatewin.exe
xxxx://ymad.ug/tesptc/ck/3.exe
xxxx://ymad.ug/tesptc/ck/4.exe
xxxx://ymad.ug/tesptc/ck/5.exe
xxxx://ymad.ug/1/index.php
Результаты анализов: VT + HA + VT + HA
➤ Использует api.2ip.ua для DNS-запросов. 
➤ Одновременно распространяет троян-стилер AZORult, предназначенный для кражи конфиденциальной информации. Так он способен похищать пользовательские различные данные: информацию из файлов, историю браузеров, пароли, кукис, учетные данные онлайн-банкинга, крипто-валютных кошельков и прочее. Также может служить загрузчиком для других вредоносов. Ссылка на статью
➤ Изменяет host-файл, чтобы заблокировать обновления Windows, антивирусных программ и сайтов, связанных с новостями по безопасности, продажей антивирусного ПО, включая сомнительные и фейковые, предлагающие фальшивое избавление от вредоносных программ. Для этого в host-файл добавляются следующие строки. 
Список адресов:

127.0.0.1 ds.download.windowsupdate.com
127.0.0.1 www.update.microsoft.com
127.0.0.1 download.windowsupdate.com
127.0.0.1 fe2.update.microsoft.com
127.0.0.1 whoer.net
127.0.0.1 www.whoer.net
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.360totalsecurity.com
127.0.0.1 360totalsecurity.com
127.0.0.1 www.gratissoftwaresite.com
127.0.0.1 gratissoftwaresite.com
127.0.0.1 tweakers.net
127.0.0.1 www.tweakers.net
127.0.0.1 www.avg.com
127.0.0.1 avg.com
127.0.0.1 www.bestevirusscanner.net
127.0.0.1 bestevirusscanner.net
127.0.0.1 www.consumentenbond.nl
127.0.0.1 consumentenbond.nl
127.0.0.1 cheaplicensing.com
127.0.0.1 www.cheaplicensing.com
127.0.0.1 global.ahnlab.com
127.0.0.1 www.global.ahnlab.com
127.0.0.1 www.ahnlab.com
127.0.0.1 ahnlab.com
127.0.0.1 downloads.tomsguide.com
127.0.0.1 www.downloads.tomsguide.com
127.0.0.1 www.download82.com
127.0.0.1 download82.com
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.avast.com
127.0.0.1 avast.com
127.0.0.1 support.avast.com
127.0.0.1 www.support.avast.com
127.0.0.1 www.consumentenbond.com
127.0.0.1 consumentenbond.com
127.0.0.1 www.goedkoopsteantivirus.com
127.0.0.1 goedkoopsteantivirus.com
127.0.0.1 www.toptenreviews.com
127.0.0.1 toptenreviews.com
127.0.0.1 www.antivirus.nl
127.0.0.1 antivirus.nl
127.0.0.1 www.bol.com
127.0.0.1 bol.com
127.0.0.1 www.avira.com
127.0.0.1 avira.com
127.0.0.1 www.bitdefender.com
127.0.0.1 bitdefender.com
127.0.0.1 licentie2go.com
127.0.0.1 www.licentie2go.com
127.0.0.1 www.bullguard.com
127.0.0.1 bullguard.com
127.0.0.1 www.kpn.com
127.0.0.1 kpn.com
127.0.0.1 virusscanner.software
127.0.0.1 www.virusscanner.software
127.0.0.1 www.comodo.com
127.0.0.1 comodo.com
127.0.0.1 www.drweb.com
127.0.0.1 drweb.com
127.0.0.1 download.drweb.com
127.0.0.1 www.download.drweb.com
127.0.0.1 vms.drweb.com
127.0.0.1 www.vms.drweb.com
127.0.0.1 alternativeto.ne
127.0.0.1 www.alternativeto.ne
127.0.0.1 softonic.com
127.0.0.1 www.softonic.com
127.0.0.1 www.softpedia.com
127.0.0.1 softpedia.com
127.0.0.1 www.flipkart.com
127.0.0.1 flipkart.com
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.emsisoft.com
127.0.0.1 emsisoft.com
127.0.0.1 www.antimalwaresoftware.com
127.0.0.1 antimalwaresoftware.com
127.0.0.1 www.pcwebplus.com
127.0.0.1 pcwebplus.com
127.0.0.1 www.pcmag.com
127.0.0.1 pcmag.com
127.0.0.1 www.eset.com
127.0.0.1 eset.com
127.0.0.1 www.surfspot.com
127.0.0.1 surfspot.com
127.0.0.1 www.topantivirus.com
127.0.0.1 topantivirus.com
127.0.0.1 www.techzine.com
127.0.0.1 techzine.com
127.0.0.1 www.eset.com
127.0.0.1 eset.com
127.0.0.1 www.fortinet.com
127.0.0.1 fortinet.com
127.0.0.1 fortiguard.com
127.0.0.1 www.fortiguard.com
127.0.0.1 forticlient.com
127.0.0.1 www.forticlient.com
127.0.0.1 www.kpn.com
127.0.0.1 kpn.com
127.0.0.1 www.kaspersky.com
127.0.0.1 kaspersky.com
127.0.0.1 www.consumentenbond.com
127.0.0.1 consumentenbond.com
127.0.0.1 www.surfspot.com
127.0.0.1 surfspot.com
127.0.0.1 www.topreviews.com
127.0.0.1 topreviews.com
127.0.0.1 www.amecomputers.com
127.0.0.1 amecomputers.com
127.0.0.1 www.instantsoftware.com
127.0.0.1 instantsoftware.com
127.0.0.1 www.malwarebytes.com
127.0.0.1 malwarebytes.com
127.0.0.1 www.malwarebytes.org
127.0.0.1 malwarebytes.org
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.bleepingcomputer.com
127.0.0.1 bleepingcomputer.com
127.0.0.1 www.majorgeeks.com
127.0.0.1 majorgeeks.com
127.0.0.1 www.seniorweb.com
127.0.0.1 seniorweb.com
127.0.0.1 www.amazon.com
127.0.0.1 amazon.com
127.0.0.1 www.techspot.com
127.0.0.1 techspot.com
127.0.0.1 filehippo.com
127.0.0.1 www.filehippo.com
127.0.0.1 www.idealsoftware.com
127.0.0.1 idealsoftware.com
127.0.0.1 uptodown.com
127.0.0.1 www.uptodown.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 home.mcafee.com
127.0.0.1 www.home.mcafee.com
127.0.0.1 www.coolblue.com
127.0.0.1 coolblue.com
127.0.0.1 www.pcmag.com
127.0.0.1 pcmag.com
127.0.0.1 www.sky.com
127.0.0.1 sky.com
127.0.0.1 norton.com
127.0.0.1 www.norton.com
127.0.0.1 www.kieskeurig.com
127.0.0.1 kieskeurig.com
127.0.0.1 internetsecurity.xfinity.com
127.0.0.1 www.internetsecurity.xfinity.com
127.0.0.1 www.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.campusshop.com
127.0.0.1 campusshop.com
127.0.0.1 www.pandasecurity.com
127.0.0.1 pandasecurity.com
127.0.0.1 www.paradigit.com
127.0.0.1 paradigit.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 home.sophos.com
127.0.0.1 www.home.sophos.com
127.0.0.1 sophos.virtualsecurity.com
127.0.0.1 www.sophos.virtualsecurity.com
127.0.0.1 www.gratissoftware.com
127.0.0.1 gratissoftware.com
127.0.0.1 www.seniorweb.com
127.0.0.1 seniorweb.com
127.0.0.1 www.softwareadvice.com
127.0.0.1 softwareadvice.com
127.0.0.1 www.symantec.com
127.0.0.1 symantec.com
127.0.0.1 hostedendpoint.spn.com
127.0.0.1 www.hostedendpoint.spn.com
127.0.0.1 www.g2crowd.com
127.0.0.1 g2crowd.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.goedkoopsteantivirus.com
127.0.0.1 goedkoopsteantivirus.com
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.ign.com
127.0.0.1 ign.com
127.0.0.1 www.trusteer.com
127.0.0.1 trusteer.com
127.0.0.1 my.webrootanywhere.com
127.0.0.1 www.my.webrootanywhere.com
127.0.0.1 www.webroot.com
127.0.0.1 webroot.com
127.0.0.1 www.techradar.com
127.0.0.1 techradar.com
127.0.0.1 support.microsoft.com
127.0.0.1 www.support.microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 pulse.microsoft.com
127.0.0.1 www.pulse.microsoft.com
127.0.0.1 pcmweb.com
127.0.0.1 www.pcmweb.com
127.0.0.1 www.security.com
127.0.0.1 security.com
127.0.0.1 ccm.net
127.0.0.1 www.ccm.net
127.0.0.1 www.enigmasoftware.com
127.0.0.1 enigmasoftware.com
127.0.0.1 howtoremove.guide
127.0.0.1 www.howtoremove.guide
127.0.0.1 www.2-viruses.com
127.0.0.1 2-viruses.com
127.0.0.1 www.2-spyware.com
127.0.0.1 2-spyware.com
127.0.0.1 sensorstechforum.com
127.0.0.1 www.sensorstechforum.com
127.0.0.1 greatis.com
127.0.0.1 www.greatis.com
127.0.0.1 www.pchubs.com
127.0.0.1 pchubs.com
127.0.0.1 www.pcrisk.com
127.0.0.1 pcrisk.com
127.0.0.1 www.malware-board.com
127.0.0.1 malware-board.com
127.0.0.1 pcthreatskiller.com
127.0.0.1 www.pcthreatskiller.com
127.0.0.1 pcfixhelp.net
127.0.0.1 www.pcfixhelp.net
127.0.0.1 stepsforkillingthreats.com
127.0.0.1 www.stepsforkillingthreats.com
127.0.0.1 www.removemalwarevirus.com
127.0.0.1 removemalwarevirus.com
127.0.0.1 spyware-techie.com
127.0.0.1 www.spyware-techie.com
127.0.0.1 anti-spyware-101.com
127.0.0.1 www.anti-spyware-101.com
127.0.0.1 www.removeallvirus.com
127.0.0.1 removeallvirus.com
127.0.0.1 www.pcthreat.com
127.0.0.1 pcthreat.com
127.0.0.1 www.pcinfectionsupport.com
127.0.0.1 pcinfectionsupport.com
127.0.0.1 www.howtouninstallpcmalware.com
127.0.0.1 howtouninstallpcmalware.com
127.0.0.1 computerprotectionpro.com
127.0.0.1 www.computerprotectionpro.com

Обновление от 2 марта 2019:
Пост на форуме >>
Расширение: .promok
Пострадавшие из Албании, Индии, Непала и других стран. 
Вредоносная деятельность аналогична версии с расширением .promorad.
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Статус: файлы можно дешифровать!

Обновление от 8 марта 2019:
Майкл Джиллеспи обновил дешифровщик на этого семейства
Его пост в Твиттере >>
Добавлены оффлайн ключи для: 
- оффлайн ID "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1" (.promoz, .promok, .promorad)
- оффлайн ID "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1" (.promok)
Майкл постоянно собирает данные пострадавших, чтобы находить способы расшифровки тех вариантов, которые не были расшифрованы.
Я написал краткое руководство и перевел все ответы Майкла на русский язык.
Специальная статья: Сбор данных для дешифрования >>



Обновление от 9 марта 2019:
Пост на форуме >>
Расширение: .promorad2
Записка: _readme.txt 
Вредоносная деятельность аналогична версии с расширением .promorad.
Статус: файлы можно дешифровать!


Обновление от 12 марта 2019:
Пост в Твиттере >>
Расширение: .kroput
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Вредоносная деятельность аналогична версии с расширением .promorad.
➤ Использует api.2ip.ua для DNS-запросов. 
➤ Одновременно распространяет троян-стилер AZORult, ворующий конфиденциальную информацию. 
➤ Изменяет host-файл, чтобы блокировать обновления Windows и те же сайты, что при и вся подгруппа Promo (см. описание выше у версии с расширением .promorad). 
URL malware: xxxx://ymad.ug/***
xxxx://ymad.ug/1/***
xxxx://ymad.ug/tesptc/ruletka/*** 
Информация из URLHaus >>
Результаты анализов: VT
Статус: файлы можно дешифровать!

Обновление от 14 марта 2019:
Пост в Твиттере >>
Расширение: .kroput1
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Вредоносная деятельность аналогична версии с расширением .promorad.
➤ Использует api.2ip.ua для DNS-запросов. 
➤ Одновременно распространяет троян-стилер AZORult, ворующий конфиденциальную информацию. 
➤ Изменяет host-файл, чтобы блокировать обновления Windows и те же сайты, что при и вся подгруппа Promo (см. описание выше у версии с расширением .promorad).

 Используется регистратор: www.101domain.ua/ (Украина)

Новый URL malware: xxxx://loot.ug/***
Старый URL malware: xxxx://ymad.ug/***
xxxx://ymad.ug/1/***
xxxx://ymad.ug/tesptc/ruletka/*** 
Результаты анализов: VT + AR + IA


Обновление от 14 марта 2019:
Пост на форуме >>
Расширение: .charck
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc

Обновление от 14 марта 2019:
Пост на форуме >>
Расширение: .pulsar1
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc


Обновление от 14 марта 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .klope
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc

Обновление от 15 марта 2019:
Пост в Твиттере >>
Расширение: .kropun
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc


Обновления от 18 марта 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .charcl
---
Пост на форуме >>
Расширение: .kropun1
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc


Обновление от 20 марта 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .doples
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT


Обновление от 21 марта 2019:
Пост в Твиттере >>
Расширение: .luces
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT


Обновления от 22 марта 2019:
Пост в Твиттере >>
Расширение: .luceq
---
Пост в Твиттере >>
Расширение: .chech
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .proden
Записка: _readme.txt 
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT + AR + VMR
Файл host имеет тоже самое содержание, что и в обновлении от 1 марта 2019 (см. выше). 


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .drume
Записка: _open_.txt 
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VTAR


Обновление от 25-26 марта 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .tronas
Записка: _open_.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 27 марта 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .grovas
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 28 марта 2019:
Пост в Твиттере >>
Расширение: .trosak
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Файл EXE: killeryuga.exe
Результаты анализов: VT + AR

Обновление от 30 марта 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .grovat
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 2 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .roland
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR


Обновление от 4 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Пост на форуме >>
Расширение: .refols
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 5-6 апреля 2019:
Расширение: .raldug
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR


Обновление от 9 апреля 2019:
Пост на форуме >>
Расширение: .etols
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR


Обновление от 11 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 065
Расширение: .guvara
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
URL malaware: xxxx://pool.ug/***
URL malaware: xxxx://root.ug/***
Результаты анализов: VT + AR


Обновление от 12 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 066
Расширение: .browec
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
URL malaware: xxxx://pool.ug/***
URL malaware: xxxx://root.ug/***
Результаты анализов: VT + AR


Обновление от 18 апреля 2019:
Пост в Твиттере >>
Топик на форуме >>
Номер версии в ID: 067
Расширение: .norvas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore
Результаты анализов: VT + AR
➤ Содержание записки: 
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-pPLXOv9XTI
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
vengisto@firemail.cc
Reserve e-mail address to contact us:
vengisto@india.com
Support Telegram account:
@datarestore
Your personal ID:
067vtdsUezls8UewKOimuncHsxHIrDko23pqvlDGbX4DiKTi*****

Обновление от 20 апреля 2019:
Пост на форуме >>
Номер версии в ID: 068
Расширение: .norvas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 21 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 069
Расширение: .moresa
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore
Результаты анализов: VT



Обновление от 23 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 070
Расширение: .verasto
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 25 апреля 2019:
Пост на форуме >>
Пост в Твиттере >>
Номер версии в ID: 071
Расширение: .hrosas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 26 апреля 2019:
Топик на форуме >>
Номер версии в ID: 072
Расширение: .kiratos
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore



Обновление от 29 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 073
Расширение: .todarius
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch


Обновление от 30 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 074
Расширение: .hofos
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch

Обновление от 30 апреля 2019:
Пост в Твиттере >>
Топик на форуме >>
Номер версии в ID: 075
Расширение: .roldat
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 2 мая 2019:
Пост в Твиттере >>
Пост на форуме >>
Номер версии в ID: 077
Расширение: .dutan
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 4 мая 2019:
Пост в Твиттере >>
Топик на форуме >>
Топик на форуме >>
Номер версии в ID: 078
Расширение: .sarut
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR + AR

Обновление от 5 мая 2019:
Пост на форуме >>
Пост в Твиттере >>
Номер версии в ID: 079
Расширение: .fedasot 
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 6-7 мая 2019:
Пост в Твиттере >>
Расширение: .berost
Номер версии в ID: 080
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 6-7 мая 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .forasom
Номер версии в ID: 081
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Email: mosteros@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT


Обновление от 9 мая 2019:
Пост в Твиттере >>
Расширение: .fordan
Номер версии в ID: 082
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 10-11 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширения: .codnat, .codnat1
Номер версии в ID: 083
Записка: _readme.txt
Email: mosteros@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR

Обновление от 15 мая 2019:
Пост в Твиттере >>
Расширение: .bufas
Номер версии в ID: 084
Записка: _readme.txt
Email: mosteros@firemail.cc, gorentos@bitmessage.ch


Обновление от 16 мая 2019:
Пост в Твиттере >>
Расширение: .dotmap
Номер версии в ID: 085
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch

Обновление от 18 мая 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .radman
Номер версии в ID: 086
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch



Обновление от 20 мая 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .ferosas
Номер версии в ID: 087
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch


Обновление от 22 мая 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .rectot
Номер версии в ID: 088
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR

Обновление от 24 мая 2019:
Пост в Твиттере >>
Расширение: .skymap
Номер версии в ID: 089
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR


Обновление от 26 мая 2019:
Пост в Твиттере >>
Расширение: .mogera 

Номер версии в ID: 090
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + AR + HA + IA

Обновление от 28 мая 2019:
Пост в Твиттере >>
Расширение: .rezuc
Номер версии в ID: 091
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT


Обновление 1 июня 2019:

Пост на форуме >>
Расширение: .stone
Номер версии в ID: 092
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 


Обновление 2 июня 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .redmat
Номер версии в ID: 093
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 

Обновление 3 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .lanset
Номер версии в ID: 094
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 


Обновление от 5 июня 2019:
Пост на форуме >>
Расширение: .davda
Номер версии в ID: 095
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch

Обновление от 5 июня 2019:
Пост в Твиттере >>
Расширение: .poret
Номер версии в ID: 096
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + HA + AR + IA
URL Malware
xxxx://texet2.ug/tesptc/penelop/updatewin1.exe
xxxx://texet2.ug/tesptc/penelop/updatewin2.exe
xxxx://texet2.ug/tesptc/penelop/updatewin.exe
xxxx://texet2.ug/tesptc/penelop/3.exe
xxxx://texet2.ug/tesptc/penelop/4.exe
xxxx://texet2.ug/tesptc/penelop/5.exe
xxxx://texet2.ug/1/index.php
xxxx://texet1.ug/***


Обновление от 6 июня 2019:
Пост в Твиттере >>
Расширение: .pidon
Номер версии в ID: 097
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 

Обновление от 7 июня 2019:
Пост в Твиттере >>
Расширение: .heroset
Номер версии в ID: 098
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 



Обновление от 8 июня 2019:
Пост в Твиттере >>
Пост  на форуме >>
Топик на форуме >>
Расширение: .boston
Номер версии в ID: 099
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 

Обновление от 8 июня 2019:
Пост в Твиттере >>
Расширение: .myskle
Номер версии в ID: ?
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT 

Обновление от 10 июня 2019:
Пост в Твиттере >>
Топик на форуме >>
Расширение: .muslat
Номер версии в ID: 100
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos@firemail.cc
Результаты анализов: VT 


Обновление от 11 июня 2019:
Пост в Твиттере >>
Топик на форуме >>
Расширение: .gerosan
Номер версии в ID: 101
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos@firemail.cc
Результаты анализов: VT

Обновление от 13 июня 2019:
Пост в Твиттере >>
Расширение: .vesad
Номер версии в ID: 102
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT



Обновление от 17 июня 2019:
Пост в Твиттере >>
Расширение: .horon
Номер версии в ID: 103
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
script.ps1 - сценарий PowerShell 

Результаты анализов: VT


Обновление от 19 июня 2019:
Пост в Твиттере >>
Расширение: .neras
Номер версии в ID: 104
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT


Обновление от 21 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .truke
Номер версии в ID: 105
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT


Обновление от 23 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .dalle
Номер версии в ID: 106
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT + VMR

Обновление от 25 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .lotep
Номер версии в ID: 107
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT

Обновление от 27 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .nusar
Номер версии в ID: 108
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Результаты анализов: VT


Обновление от 30 июня 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .litar
Номер версии в ID: 109
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Результаты анализов: VT + HA + IA + VMR

Обновление от 1-2 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .besub
Номер версии в ID: 110
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Результаты анализов:
 VT



Обновление от 5 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .cezor
Номер версии в ID: 111
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR


Обновление от 8-9 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .lokas
Номер версии в ID: 112
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR


Обновление от 11 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .godes
Номер версии в ID: 113
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
URL: xxxx://bronze2.hk/tesptc/penelop/***
xxxx://bronze1.hk/***
Результаты анализов: VT + VMR

Обновление от 15 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .budak
Номер версии в ID: 114
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR



Обновление от 16-18 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .vusad
Номер версии в ID: 115
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 17 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .herad
Номер версии в ID: 116
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 17 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .berosuce
Номер версии в ID: 117
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .gehad
Номер версии в ID: 118
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .gusau
Номер версии в ID: 119
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
URL: xxxx://bruze2.ug/***
xxxx://bruze2.ug/files/penelop/***
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Топик на форуме >>
Расширение: .madek
Номер версии в ID: 120
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR


Обновление от 20 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .tocue
Номер версии в ID: 122
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR


Обновление от 21 июля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .darus
Номер версии в ID: 121
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ???
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR






=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Хронология STOP Ransomware с использованием расширений и записок:
.STOP - декабрь 2017, февраль 2018 -- !!!YourDataRestore!!!.txt
.SUSPENDED - февраль 2018 -- !!!RestoreProcess!!!.txt
.WAITING - апрель 2018 -- !!!INFO_RESTORE!!!.txt
.PAUSA - май 2018 -- !!RESTORE!!!.txt
.CONTACTUS - май 2018 -- !!!!RESTORE_FILES!!!.txt
.DATASTOP - июль 2018 -- !!!DATA_RESTORE!!!.txt
.STOPDATA - июль 2018 -- !!!RESTORE_DATA!!!.txt
.KEYPASS - август 2018 -- !!!KEYPASS_DECRYPTION_INFO!!!.txt
.WHY - август 2018 -- !!!WHY_MY_FILES_NOT_OPEN!!!.txt
.SAVEfiles - сентябрь 2018 -- !!!SAVE_FILES_INFO!!!.txt
.DATAWAIT - (003) ноябрь 2018 -- !readme.txt - 🔓🔓
.INFOWAIT - (004) ноябрь 2018 -- !readme.txt - 🔓
.puma - (005) ноябрь 2018 -- !readme.txt - 🔓
.pumax - (005, 006) ноябрь 2018 -- !readme.txt - 🔓
.pumas - (008) ноябрь 2018 -- !readme.txt - 🔓
.shadow - (012, 013) декабрь 2018 -- !readme.txt - 🔓
.djvu - (013, 014) декабрь 2018 -- _openme.txt - 🔓
.djvuu - (016) декабрь 2018 -- _openme.txt - 🔓
.udjvu - (017) декабрь 2018 -- _openme.txt - 🔓
.uudjvu - (018) декабрь 2018 -- _openme.txt - 🔓
.djvuq - (019) декабрь 2018 -- _openme.txt - 🔓
.djvus - (020) декабрь 2018 -- _openme.txt - 🔓?
.djvur - (021) январь 2019 -- _openme.txt - 🔓
.djvut - (022) январь 2019 -- _openme.txt - 🔓
.pdff - (023) январь 2019 -- _openme.txt - 🔓
.tro - (023) январь 2019 -- _openme.txt - 🔓
.tfude - (024) январь 2019 -- _openme.txt - 🔓
.tfudeq (025) январь 2019 -- _openme.txt - 🔓
.tfudet - (024, 026) январь 2019 -- _openme.txt - 🔓
.rumba (027) январь 2019 -- _openme.txt - 🔓
.adobe - (028) январь 2019 -- _openme.txt - 🔓
.adobee - (029) январь 2019 -- _openme.txt - 🔓
.blower - (030, 031, 032) февраль 2019 -- _readme.txt - 🔓
.promos - (033) февраль 2019 -- _readme.txt - 🔓
.promoz - (034) февраль 2019 -- _readme.txt - 🔓
.promorad - (036) март 2019 -- _readme.txt - 🔓
.promock - (036) март 2019 -- _readme.txt - 🔓
.promok - (037) март 2019 -- _readme.txt - 🔓
.promoks - (038) март 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.promorad2 - (039) март 2019 -- _readme.txt - 🔓
.kroput - (040) март 2019 -- _readme.txt - 🔓
.kroput1 - (041) март 2019 -- _readme.txt - 🔓
.pulsar1 - (041) март 2019 -- _readme.txt - 🔓
.kropun1 - (041) март 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.charck - (044) март 2019 -- _readme.txt - 🔓
.klope - (045) март 2019 -- _readme.txt - 🔓
.kropun - (046, 047) март 2019 -- _readme.txt - 🔓
.charcl - (047) март 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.doples - (049) март 2019 -- _readme.txt - 🔓
.luces - (050) март 2019 -- _readme.txt - 🔓
.luceq - (051) март 2019 -- _readme.txt - 🔓
.chech - (052) март 2019 -- _readme.txt - 🔓
.proden - (052) март 2019 -- _readme.txt - 🔓
.drume - (054) март 2019 -- _open_.txt - 🔓
.tronas - (056) март 2019 -- _open_.txt - 🔓
.trosak - (057) март 2019 -- _readme.txt - 🔓
.grovas - (058) март 2019 -- _readme.txt - 🔓
.grovat - (059) март 2019 -- _readme.txt - 🔓
.roland - (060) март 2019 -- _readme.txt - 🔓
.refols - (061) апрель 2019 -- _readme.txt - 🔓
.raldug - (062) апрель 2019 -- _readme.txt - 🔓
.etols - (064) апрель 2019 -- _readme.txt - 🔓
.guvara - (065) апрель 2019 -- _readme.txt - 🔓
.browec - (066) апрель 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.norvas - (067, 068) апрель 2019 -- _readme.txt - 🔓
.moresa - (069) апрель 2019 -- _readme.txt - 🔓
.verasto - (070) апрель 2019 -- _readme.txt - 🔓
.hrosas - (071) апрель 2019 -- _readme.txt - 🔓
.kiratos - (072) апрель 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.todarius - (073) апрель 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!
.hofos - (074) апрель 2019 -- _readme.txt - 🔓? Нам нужен образец вредоноса!!!

.roldat - (075) апрель 2019 -- _readme.txt - 🔓
.dutan - (077) - май 2019 -- _readme.txt - 🔓
.sarut - (078) - май 2019 -- _readme.txt - 🔓
.fedasot - (079) - май 2019 -- _readme.txt - 🔓
.berost - (080) - май 2019 -- _readme.txt - 🔓
.forasom - (081) - май 2019 -- _readme.txt - 🔓
.fordan - (082) - май 2019 -- _readme.txt - 🔓
.codnat - (083) - май 2019 -- _readme.txt - 🔓
.codnat1 - (083) - май 2019 -- _readme.txt - 🔓
.bufas - (084) - май 2019 -- _readme.txt - 🔓
.dotmap (085) - май 2019 -- _readme.txt - 🔓
.radman (086) - май 2019 -- _readme.txt - 🔓
.ferosas (087) - май 2019 -- _readme.txt - 🔓
.rectot (088) - май 2019 -- _readme.txt - 🔓
.skymap (089) - май 2019 -- _readme.txt - 🔓
.mogera (090) - май 2019 -- _readme.txt - 🔓
.rezuc (091) - май 2019 -- _readme.txt - 🔓
.stone (092) - июнь 2019 -- _readme.txt - 🔓
.redmat (093) - июнь 2019 -- _readme.txt - 🔓 Нам нужен образец вредоноса!!! 
.lanset (094) - июнь 2019 -- _readme.txt - 🔓
.davda (095) - июнь 2019 -- _readme.txt - 🔓
.poret (096) - июнь 2019 -- _readme.txt - 🔓
.pidon (097) - июнь 2019 -- _readme.txt - 🔓
.heroset (098) - июнь 2019 -- _readme.txt - 🔓
.boston (099) - июнь 2019 -- _readme.txt - 🔓
.muslat (100) - июнь 2019 -- _readme.txt - 🔓
.gerosan (101) - июнь 2019 -- _readme.txt - 🔓
.vesad (102) - июнь 2019 -- _readme.txt - 🔓
.horon (103) - июнь 2019 -- _readme.txt - 🔓
.neras (104) - июнь 2019 -- _readme.txt - 🔓
.truke (105) - июнь 2019 -- _readme.txt - 🔓
.dalle (106) - июнь 2019 -- _readme.txt - 🔓
.lotep (107) - июнь 2019 -- _readme.txt - 🔓
.nusar (108) - июнь 2019 -- _readme.txt - 🔓
.litar (109) - июнь 2019 -- _readme.txt - 🔓
.besub (110) - июль 2019 -- _readme.txt - 🔓
.cezor (111) - июль 2019 -- _readme.txt - 🔓
.lokas (112) - июль 2019 -- _readme.txt - 🔓
.godes (113) - июль 2019 -- _readme.txt - 🔓
.budak (114) - июль 2019 -- _readme.txt - 🔓
.vusad (115) - июль 2019 -- _readme.txt - 🔓
.herad (116) - июль 2019 -- _readme.txt - 🔓
.berosuce (117) - июль 2019 -- _readme.txt - 🔓
.gehad (118) - июль 2019 -- _readme.txt - 🔓
.gusau (119) - июль 2019 -- _readme.txt - 🔓
.madek (120) - июль 2019 -- _readme.txt - 🔓

.darus (121) - июль 2019 -- _readme.txt - 🔓

.tocue (122) - июль 2019 -- _readme.txt - 🔓
 (123) - июль 2019 -- _readme.txt - 🔓
 (124) - июль 2019 -- _readme.txt - 🔓
 (125) - июль 2019 -- _readme.txt - 🔓


Легенда:
🔓 - дешифруются файлы, зашифрованный оффлайн-ключами
🔓? - дешифровка под вопросом, исследуется, или нужен образец вредоноса
(060) - номер версии из записки, ничего не значит, нужен, чтобы не запутаться.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
В некоторых случаях файлы можно дешифровать!
Составьте запрос в Dr.Web на пробную дешифровку: 
- на русском языке
- на английском языке
После проверки вам сообщат подробности. 
➽ Или напишите Emmanuel_ADC-Soft на форум, email, Твиттер. 
***
1) Варианты c расширениями .DATAWAIT, .INFOWAIT и более ранние можно дешифровать в Dr.Web 2) Варианты с расширениями .puma, .pumax, .pumas можно дешифровать по ссылке >> 3) Варианты с расширениями .djvu, .djvuq, .djvur, .djvut, .djvuu, .udjvu, .pdff, .tro, .tfude, .tfudeq, .tfudet, rumba, adobe, adobee, blower, promos, promoz, promock, promorad, promok и другие можно дешифровать по ссылке >> *
2)
3)
Декриптер Майкла расшифрует только файлы, зашифрованные оффлайн-ключами. В окне программы видно загруженные ключи и поддерживаемые расширения. 
Майкл собирает данные пострадавших, чтобы применить их в декриптере и расшифровать файлы. Я написал краткое руководство и перевел все ответы Майкла на русский язык (см. ссылку ниже).
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as STOP)
 Write-up, Topic of Support, General support topic
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov, GrujaRS, S!Ri, Emmanuel_ADC-Soft
 quietman7, Lawrence Abrams (BleepingComputer) ...
 (to the victims from the support topic and to all who send me samples)
 *
Обнаружения: 
DrWeb -> Trojan.Encoder.26314, Trojan.PWS.Banker1.28986, Trojan.Encoder.26995, Trojan.Encoder.26996, Trojan.DownLoader27.16110, Trojan.DownLoader27.20574, Trojan.PWS.Siggen2.9186, Trojan.Siggen8.5440, Trojan.PWS.Stealer.24943, Trojan.Faker.12, Trojan.Siggen8.16294, Trojan.Siggen8.16299, Trojan.MulDrop8.58033, Trojan.PWS.Stealer.24943, Trojan.Siggen8.20167, Trojan.Siggen8.20394, Trojan.Siggen8.21202, Trojan.Siggen8.23665, Trojan.Encoder.27776, Trojan.MulDrop8.58040, Trojan.DownLoader28.16, Trojan.Encoder.26996
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.Ransom.Stop.A, Trojan.GenericKD.31342714, Trojan.GenericKD.31369885, Trojan.GenericKD.31500621, Trojan.GenericKD.31514824, Trojan.GenericKD.31517950, Trojan.GenericKD.31534187, Trojan.GenericKD.31534080, Trojan.GenericKD.31575808, Trojan.GenericKD.31691360, Trojan.MulDrop8.58033, Trojan.MulDrop8.58040, Trojan.GenericKD.31787961, Trojan.GenericKD.31789478, Trojan.GenericKD.40765609, Trojan.GenericKD.40841043,  Trojan.GenericKD.40878732, Trojan.GenericKD.40887380, Generic.Ransom.Stop.59BDDCFD, DeepScan:Generic.Zamg.8.*, DeepScan:Generic.Ransom.Stop.*, Gen:Variant.Trojan.Crypt.63, Trojan.GenericKD.31806757, Trojan.GenericKD.31809991, Trojan.GenericKD.31822410, Trojan.GenericKD.31823954, Trojan.GenericKD.31838431, Trojan.GenericKD.41139976, Trojan.GenericKD.41149918, Trojan.GenericKD.41197210, Gen:Variant.Ulise.35558, Gen:Heur.Titirez.1.F, Trojan.GenericKD.41257217, Trojan.GenericKD.41271436, Gen:Variant.Strictor.195347, Gen:Variant.Jaik.36875
Kaspersky -> Trojan.Win32.Scar.rmry, Trojan-PSW.Win32.Coins.nrc, Trojan-PSW.Win32.Coins.pek, Trojan.Win32.Scar.rsps, Trojan-PSW.Win32.Coins.qvc, Trojan-Banker.Win32.Jimmy.brm, Trojan.Win32.Agent.qwiwes, Trojan.Win32.Chapak.cyho, Trojan-Banker.Win32.Jimmy.czf
Malwarebytes -> Ransom.Chaicha, Trojan.MalPack, Trojan.Injector, Ransom.Salsa, Trojan.MalPack.GS.Generic
VBA32 -> TrojanRansom.Chaicha, BScope.TrojanPSW.Coins, BScope.Trojan.Chapak, BScope.Trojan.Tiggre, BScope.Trojan.Pushdo, BScope.Trojan.AntiAV, BScope.Backdoor.Mokes, Malware-Cryptor.Limpopo
ALYac -> Trojan.Ransom.Stop, Trojan.Fuerboos
Symantec -> Trojan.Gen.2, Ransom.Pots, Trojan.Gen.MBT


© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton