среда, 31 октября 2018 г.

SnowPicnic

SnowPicnic Ransomware 

0BtcRansoware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем не требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SnowPicnic. На файле написано: SnowPicnic.exe и SnowPicnicFrensomware.exe. Разработчик: _GOSHA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCryptSnowPicnic

К зашифрованным файлам добавляется расширение: .snowpicnic


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
Read.HTML
Read.TXT

Содержание записки о выкупе:
Your files has been encrypted with Millitary Grade Algorithm AES-256 (Advanced Encrypting Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
And for decrypt: Buy to my wallet 0 bitcoins, not 0.5, not 1, not 2,0 bitcoins!ator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstaleut:***
Good luck!
Good bye!

Перевод записки на русский язык:
Ваши файлы зашифрованы с алгоритмом Millitary Grade AES-256 (Advanced Encryptioning Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
И для расшифровки: купите мой кошелек 0 биткоинов, не 0,5, не 1, не 2,0 биткоинов! ator будет зашифрован, запутан и закодирован символами ASCII. Прервать - распространится на все компьютеры. Повторите попытку - запись в BIOS и жесткий диск для установки и распространения перед повторной установкой: ***
Удачи!
Пока!

Другой текст, для тех, кто будет смотреть код:
it's called a ransomware-not-ransomware.
EnyBeny Crypt - second ransomware.
Scrabber - withheld support, and no longer in service.
#0BtcRansoware

Другой текст с уведомлением Ask.com:
Ask.Com Notification
Install ask.com? Yes = yes, no = yes
Ask Toolbar started a installation to all computers of your network, and installator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstalling Windows. Ignore - Infect with ASK users.




Технические детали

По сообщениям разработчика: никогда не распространялся через RDP. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read.HTML
Read.TXT
SnowPicnicFrensomware.exe
SnowPicnicFrensomware.pdb
SnowPicnic.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\_GOSHA\SnowPicnic\SnowPicnicFrensomware\SnowPicnicFrensomware\obj\x86\Release\SnowPicnicFrensomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 gnation, anonymous / unknown
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 30 октября 2018 г.

CommonRansom

CommonRansom Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: CommonRansomДля дешифрования файлов после получения выкупа, вымогатели требуют от жертв открыть службы удаленных рабочих столов на заражённых ПК и отправить им учетные данные администратора. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .CommonRansom

Фактически используется составное расширение по шаблону: .[<email>].CommonRansom

На данный момент это .[old@nuke.africa].CommonRansom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTING.txt
 Записка, открытая в Блокноте
Записка, открытая в браузере

Содержание записки о выкупе:
===
CommonRansom
===
Hello dear friend,
Your files were encrypted!
You have only 12 hours to decrypt it
In case of no answer our team will delete your decryption password
Write back to our e-mail: old@nuke.africa
In your message you have to write:
1. This ID-345678901234567
2. [IP_ADDRESS]:PORT(rdp) of infected machine
3. Username:Password with admin rights
4. Time when you have paid 0.1 btc to this bitcoin wallet:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
After payment our team will decrypt your files immediatly
Free decryption as guarantee:
1. File must be less than 10MB
2. Only .txt or .lnk files, no databases
3. Only 5 files
How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Перевод записки на русский язык:
Привет, дорогой друг,
Твои файлы зашифрованы!
У тебя есть только 12 часов, чтобы расшифровать их
При отсутствии ответа наша команда удалит твой пароль дешифрования
Напишите на наш e-mail: old@nuke.africa
В своем сообщении ты должен написать:
1. Этот ID-345678901234567
2. [IP_ADDRESS]: PORT (rdp) зараженной машины
3. Имя пользователя: Пароль с админ-правами 
4. Время, когда ты заплатил 0.1 бит за этот биткоин-кошелек:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
После оплаты наша команда немедленно расшифрует твои файлы
Бесплатное дешифрование в качестве гарантии:
1. Файл должен быть меньше 10 МБ
2. Только файлы .txt или .lnk, без баз данных
3. Только 5 файлов
Как получить биткоин:
Самый простой способ купить биткоины - сайт LocalBitcoins. Ты должен зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткоинов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTING.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: old@nuke.africa
BTC: 35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 29 октября 2018 г.

EnybenyCrypt

EnybenyCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: EnybenyCrypt.exe или что попало. Среда разработки: Visual Studio 2010.

© Генеалогия: HiddenTear >>  Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare

К зашифрованным файлам добавляется расширение: .crypt888


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Hack.html

Содержание записки о выкупе:
Your files was encrypted with AES-256 Millitary Grade Encryption 
Contact to rsupp@protonmail.ch or im flush your files to toilet and fuck using my dick!

Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью шифрования военного класса AES-256
Контакт по rupp@protonmail.ch или я смою ваши файлы в туалет и ***!



Технические детали

По сообщениям разработчика: никогда не распространялся через RDP. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EnybenyCrypt.exe
EnybenyCrypt.pdb - оригинальное название проекта
Hack.html
<random>.exe - случайное название
1234.jpg -> Hack.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
xxxx://fairybreathes.6te.net/1234.jpg
%USERPROFILE%\Documents\Visual Studio 2010\Projects\EnybenyCrypt\EnybenyCrypt\obj\x86\Release\EnybenyCrypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://gntsincrellysite.eu5.org
xxxx://fairybreathes.6te.net
Email: rupp@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 30 октября 2018:
Записка: Hack.html
Расширение: .suckmydick
➤ Содержание записки:
All your files have been encrypted with AES-256
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru
If you not buy - im flush your data TO TOILET!!!!!! 
➤ Другой текст:
All your files have been encrypted with AES-256 Strong Encryption
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru (Please not abuse)
If you not buy - im flush your data TO TOILET!!!!!! + Your backups to normal windows deleted and YOUR BIOS PATCHED = System encrypted newerj
➤ Еще текст:
GREAT! CONGRULATIONS! YOU HAVE INSTALLED A DANGER RANSOMWARE IN WORLD (NOT) AND VIRUS WILL BE ENCRYPTING YOU DATA
➤ URLs: 
URL-1: fairybreathes.6te.net 
URL-2: e.freewebhostingarea.com
URL note: xxxx://fairybreathes.6te.net/1234.jpg
Email: scrabber@mail.ru
Результаты анализов: HA + HA + VT + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
🎥  Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 октября 2018 г.

El Ransomware

El Ransomware 

WAND Ransomware 

(шифровальщик-вымогатель, деструктор)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Фальш-копирайт: Hewlett-Packard 2018

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .WAND


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, включая испанских, немецких, французских и некоторых других, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: About .WAND unlocking instructions

Содержание записки о выкупе:
================================
Hello, friend, Please read the following
Your file has been locked, please do not close the system, or modify the extension name.
***
Please E-Mail me, unlock the cost USD 100.00.
***
E-mail:hackcwandgproton@mail.com
================================

Перевод записки на русский язык:
================================
Привет, друг, Пожалуйста, прочитайте следующее
Ваш файл блокирован, пожалуйста, не закрывайте систему или не меняйте имя расширения.
***
Пожалуйста, напишите мне, разблок за 100 долларов.
***
Email: hackcwandgproton@mail.com
================================

Также имеется экран блокировки с таймером на испанском языке. 

Содержание текста с экрана:
Tus archivos han sido encriptados
Muchos archivos con extenciones fueron encryptados del directorio Descargas y Documentos, sigue las instrucciones si deseas recuperarlos.
- COMUNICATE AL CORREO GKTLC5A@PROTONMAIL.COM
- DEPOSITA EL DIÑERO EN LA CUENTA PROPORCIONADA DESDE EL CORREO.
- INGRESA LA CONTRASEÑA RECIBIDA LUEGO DE PAGO.
- TIENES 24 HORAS PARA REALIZAR TODO LO ANTERIOR.
***

Перевод текста с экрана:
Ваши файлы были зашифрованы
Многие файлы с расширениями были зашифрованы из каталога "Загрузки" и "Документы", следуйте инструкциям, если вы хотите их восстановить.
- ОБЩАЙТЕСЬ ПО EMAIL GKTLC5A@PROTONMAIL.COM
- ДЕПОЗИТ ДЕНЕГ НА СЧЕТ, УКАЗАННЫЙ В ПОЧТЕ.
- ВВЕДИТЕ ПАРОЛЬ, ПОЛУЧЕННЫЙ ПОСЛЕ ОПЛАТЫ.
- У ВАС 24 ЧАСА, ЧТОБЫ СДЕЛАТЬ ВСЕ ПЕРЕЧИСЛЕННОЕ.
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ После обнуления таймера, удаляются все блокированные файлы с Рабочего стола и в паках Пользователя. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Encriptar.exe
Desencriptar
About .WAND unlocking instructions
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hackcwand@protonmail.com
gktlc5a@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 октября 2018 г.

GusCrypter

GusCrypter Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GUScryptolocker и GusCrypter. На файле написано: GusCrypter.exe

© Генеалогия: InsaneCrypt >> GusCrypter
Родство доказано сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется расширение: .GUSv2

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.html
note of GusCrypter Ransomware

Содержание записки о выкупе:
ALL YOUR FILES LOCKED!
YOUR PID: 567890123
YOUR PERSONAL EMAIL: 5BTC@PROTONMAIL.COM
WHAT NOW?
Email us
Write your ID at title of mail and country at body of mail and wait answer.
You have to pay some bitcoins to unlock your files!
DON'T TRY DECRYPT YOUR FILES!
If you try to unlock your files, you may lose access to them!
REMEMBER!
No one can guarantee you a 100% unlock except us!
How to buy bitcoin
-> Link to https://bitcoin.org/en/buy

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ!
ВАШ PID: ***
ВАША ПЕРСОНАЛЬНЫЙ EMAIL: 5BTC@PROTONMAIL.COM
ЧТО ТЕПЕРЬ?
Свяжитесь с нами по email
Напишите свой ID в теме письма и страну и ждите ответа.
Вам нужно заплатить несколько биткоинов, чтобы разблокировать ваши файлы!
НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Если вы попытаетесь разблокировать свои файлы, вы можете потерять к ним доступ!
ПОМНИТЕ!
Никто не гарантирует вам 100%-ный разблок, кроме нас!
Как купить биткойн



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .aac, .accdb, .amr, .asp, .aspx, .avi, .back, .bak, .bin, .bmp, .bpl, .cab, .cpp, .crt, .css, .csv, .dat, .der, .dll, .doc, .docx, .dpl, .epx, .erf, .exe, .fdb, .flac, .flv, .gdb, .gif, .glf, .hbk, .htm, .html, .ico, .jar, .java, .jpeg, .jpg, .json, .key, .ldf, .less, .lnk, .log, .lrf, .m4a, .m4r, .mdb, .mde, .mdf, .mkv, .mmf, .mov, .mp2, .mp3, .mp4, .mpg, .mrimg, .msi, .myd, .myi, .newdb, .ods, .odt, .ogg, .old, .pbix, .pcx, .pdf, .pem, .php, .png, .png, .ppt, .pptx, .pst, .r11, .rar, .rmvb, .rtf, .sass, .sch, .shtml, .sql, .sqlite, .srf, .swf, .swift, .tga, .tib, .tif, .tiff, .txt, .vhd, .vhdx, .vob, .vsc, .vsl, .vsv, .vue, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (110 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.html
GusCrypter.exe
locker.pdb - название проекта
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\TheJustGus\source\repos\GUScryptolocker - update\Release\locker.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 5BTC@PROTONMAIL.COM
Ссылка на https://bitcoin.org/en/buy
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as GusCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton