суббота, 27 апреля 2019 г.

Zeropadypt, Ouroboros

Zeropadypt Ransomware

Zeropadypt NextGen: 

Ouroboros (LimboCrypt, Lazarus)


(фейк-шифровальщик, вымогатель-стиратель, деструктор) 

(шифровальщик-вымогатель в новых версиях) (первоисточник)
Translation into English


Этот крипто-вымогатель ничего не шифровал в первой версии, но заполняет содержимое файлов нулями, а затем требовал написать на email вымогателя, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

➤ В более новых версиях шифрование было реализовано в варианте Ouroboros (см. обновления после статьи). 

Обнаружений для Zeropadypt ранних версий нет. 

Обнаружения для варианта Ouroboros:
DrWeb -> Trojan.Encoder.28894, Trojan.Encoder.29266
BitDefender -> Generic.Ransom.Ouroboros.*, Trojan.GenericKD.41540786, DeepScan:Generic.Ransom.Ouroboros.*
ALYac -> Trojan.Ransom.Ouroboros

© Генеалогия (сходство): 0kilobypt и похожие >> Zeropadypt > Zeropadypt NextGen (Ouroboros)



Этимология названия: 
Оригинальное название неизвестно. Я дал название от "zero padded" или "zero padding" (дополненный нулями, заполнение нулями) + слово "crypt". 
В итоге: zero + pad + (cr)ypt = ZeroPadypt
Шифрования в первом варианте не было, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt RansomwareOrdinypt Ransomware, названные по той же схеме. 

К зашифрованным файлам в первых версиях вместо расширения добавлялось недорасширение: [id=xxxxxxxxxx][Email=asmo49@asmodeus.us]

Это недорасширение состоит из двух частей: 
[id=xxxxxxxxxx] - ID пострадавшего, в примере [id=aa47s5dnus]
[Email=asmo49@asmodeus.us] - email вымогателя


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-Me-Now.txt


Содержание записки о выкупе:
Your All Files Encrypted 
For Decrypt Your Data Contact Me: asmo49@asmodeus.us 
Your ID for Decryption: r4o7x*****
If You Try Decrypt your file and damage it is Gonna Cost You more Price to Decrypt 
you can Send 1MB Data For Decryption Test    


Перевод записки на русский язык:
Ваши все файлы зашифрованы
Для расшифровки ваших данных пишите мне: asmo49@asmodeus.us
Ваш ID для расшифровки: r4o7x*****
Если вы попытаетесь расшифровать ваш файл и повредите его, это будет стоить вам дороже, чем расшифровать 
вы можете отправить 1 МБ данных для тест-расшифровки



Технические детали

Часто распространяется как активатор к MS Office, ОС Windows и прочие. Это может быть файл Activator_Office.exe или что-то в этом роде. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробнее о файлах, заполненных нулями. 
 
Файл изображения не изменил размер до нулевого, а стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 
 
Файл записки не изменил размер до нулевого, но тоже стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 

На затронутом компьютере файлы можно восстановить из предыдущих версих файлов. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся поврежеднию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ-Me-Now.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asmo49@asmodeus.us
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Zeropadypt Ransomware - апрель 2019
LimboCrypt Ransomware - июнь-июль 2019 
Lazarus Ransomware - август 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 июня 2019:

Топик на форуме >>
Расширение: .limbo
Составное расширение: .[id=lz4ac3t***][Mail=legion.developers72@gmail.com].limbo
Записка: Read-Me-Now.txt
Email: legion.developers72@gmail.com
➤ Содержание записки: Your All Files Encrypted 
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test 
Your ID For Decryption:lz4ac3t***
Contact Us: legion.developers72@gmail.com
В этом варианте заполнение файла нулями неполное. Шифрование теперь присутствует. 
Вероятно, задача заполнения нулями не была выполнена до конца. 




Обновление от 17 июля 2019:
Файлы зашифрованы. 
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .limbo
Пример зашифрованного файла: Picture.jpg.[id=CRzj7w6liG][mail=BackFileHelp@protonmail.com].limbo
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
Email: BackFileHelp@protonmail.com
Файлы: Ouroboros_en.exe, Ouroboros_en.pdb
Результаты анализов: VT + HA + AR
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:
Contact Us: BackFileHelp@protonmail.com

Обновление от 25 июля 2019:
Топик на форуме >>
Расширение: ???
Записка: Read-Me-Now.txt
Email: dcyptfils@protonmail.ch
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:cad3IrmHfG
Contact Us: dcyptfils@protonmail.ch


Обновление от 5 августа 2019:
Файлы заполнены нулями.
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
➤ Содержание текста с экрана блокировки: 
Your Files Has Been locked
If You Need Your Files
You Should Pay Decryption Fee
You Can Send 1MB File For Being Sure Your Data Can Be Decrypted
If You Try to Decrypt Your Files With 3rd Party Applications
You May Damage Your Files And Decryption Fee will Be Double
Your ID: **********
Contact us for Decryption : letitbedecryptedzi@gmail.com

Обновление от 5 августа 2019:
Файлы зашифрованы. Нулей больше нет. 
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=SbPOa46zNc][Mail=RECOVERUNKNOWN@protonmail.com].Lazarus
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
В некоторых случаях записка также может быть зашифрована. 
Email: RECOVERUNKNOWN@protonmail.com
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:SbPOa46zNc
Contact Us: RECOVERUNKNOWN@protonmail.com

Обновление от 14 августа 2019:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=m5jfPTUZ0I][Mail=Helpcrypt1@tutanota.com].Lazarus
Записка: Read-Me-Now.txt
Email: Helpcrypt1@tutanota.com


Обновление от 16 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=PdlZmTcS4u][Mail=letitbedecryptedzi@gmail.com].Lazarus
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
Файлы: letitbedecryptedzi.exe, Ouroboros_en.pdb
Штамп времени: 2 августа 2019.
Результаты анализов: VT + AR



Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=unlockme123@protonmail.com].Lazarus
Записка: Read-Me-Now.txt
Файл: unlockme123@protonmail.com.exe
Местонахождение: 
C:\Users\User\AppData\Local\Temp\unlockme123@protonmail.com.exe
Результаты анализов: VT + AR

Обновление от 27 августа 2019:

Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Mr.TeslaBrain@gmail.com].Lazarus
Email: Mr.TeslaBrain@gmail.com
Распространяется как активатор для MS Office. 
Результаты анализов: VT + HA



Обновление от 27 августа 2019:
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Dataadecrypt@Cock.li].Lazarus
Email: Dataadecrypt@Cock.li


Обновление от 1 сентября 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=decryp7@foxmail.com].Lazarus
Email: decryp7@foxmail.com


Обновление от 8-10 сентября 2019:
Пост на форуме >>
Расширение: .Lazarus
Шаблон зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Decryptions@protonmail.com].Lazarus
Пример зашифрованного файла: RestSharp.xml.[ID=20JFkhKlzu][Mail=Decryptions@protonmail.com].Lazarus
Email: Decryptions@protonmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:20JFkhK***
Contact Us: Decryptions@protonmail.com


Обновление от 11 сентября 2019:
Пост на форуме >>
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=ScorpionEncryption@protonmail.com].Lazarus
Email: ScorpionEncryption@protonmail.com

Обновление от 13 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: .[ID=EO1Qqcm2lM][Mail=FilesHelp@tutanota.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: FilesHelp@tutanota.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EO1Qqcm***
 Our Email: FilesHelp@tutanota.com
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла:.[ID=Au2Wegh***][Email=jacdecr@tuta.io].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: jacdecr@tuta.io

Обновление от 17 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла:.[ID=u2WegAh***][Email=Rezcrypt@cock.li].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Rezcrypt@cock.li
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EQqO2ml***
 Our Email: Rezcrypt@cock.li
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 17 сентября:
Пост на форуме >>
Новый формат добавляемого расширения:
Шаблон: .Email=(<email>)ID=.<random{15-17}>
Примеры: 
.Email=(legion.developers72@gmail.com)ID=.2JyLcseQVbaIXGi
.Email=(SuckBaBe@Rape.LoL)ID=.3NlgpjA6iOruxby
.Email(legion.developers72@gmail.com)(ID=.2JyLcseQVbaIXGi
.Email(SuckBaBe@Rape.LoL)(ID=.0WgxQvyj8XOTlE3






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
В некоторых случаях можно расшифровать файлы!
Попробуйте обратиться по ссылке, указанной здесь. 
***
 Read to links: 
 Tweet on Twitter (myTweet)
 ID Ransomware (ID as Zeropadypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid
 James, M. Shahpasandi
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RobinHood, SystemR

RobinHood-SystemR Ransomware

RobinHood HT (Turkish, SystemR) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RobinHood, Robinhood, SystemR. На файле написано: SystemR.exe, RobinHood.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.RobinHood

© Генеалогия: HiddenTear >> RobinHood (SystemR)


Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .robinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2019 г., но судя по данным VT, он загружался на анализ в конце марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
не содержит никакого текста или не доработан

Перевод записки на русский язык:
не содержит никакого текста или не доработан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .cab, .dat, .evtx, .gif, .ico, .ini, .jar, .log, .py, .rtf, .sys, .ttf, .txt, .xml, .xsd, .zip
Это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений, в том числе файл bootmgr.

Файлы, связанные с этим Ransomware:
RobinHood.exe
SystemR.exe
README.txt
encfiles.txt
log.txt
<random>.exe - случайное название вредоносного файла
SystemR.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Robinhood\encfiles.txt
\Robinhood\log.txt
C:\Users\developer\Desktop\Robbinhood\Robinhood-enc\Robinhood\obj\Debug\SystemR.pdb

➤ Несмотря на то, что в папке проекта одновременно используются слова Robbinhood, Robinhood-enc, Robinhood, этот вариант шифровальщика напрямую не связан с другими "робин-гудами", но тоже основан на HiddenTear.

Ранее описанные в моём Дайджесте: 
RobinHood (HelpYemen) Ransomware
Enc_RobbinHood Ransomware
RobinHood HT (Proyecto X) Ransomware

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Vitali Kremez, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 апреля 2019 г.

WannaOof

WannaOof Ransomware

Inconspicuous Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: в заголовке окна написано WannaOof. На файле написано: inconspicuous.exe

Обнаружения: 
BitDefender -> Trojan.GenericKD.31915800
Malwarebytes -> Ransom.FileCryptor

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .oof

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOU HAVE BEEN OOF'ED!!!
Uh oh, you're in trouble now kiddo. You've been oof'ed.
All your precious files are encrypted with 256 bit encryption.
Send 0.02 bitcoin to the address displayed on the left within the next 24 hours or your files will be lost forever. Upon payment we will send you the decryption key.
Any attempt to modify, decrypt your files, or remove this program will result in your files being irretrievable.
We will definitely send you a decryption key upon payment being received, please cite the below as our promise of this:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Перевод записки на русский язык:
ВЫ БЫЛИ УВОЛЕНЫ!!!
О, у тебя неприятности, детка. Вы были уволены.
Все ваши драгоценные файлы зашифрованы с 256-битным шифрованием.
Отправьте 0.02 биткоин на адрес, указанный слева, в течение следующих 24 часов, иначе ваши файлы будут потеряны навсегда. После оплаты мы вышлем вам ключ расшифровки.
Любая попытка изменить, расшифровать ваши файлы или удалить эту программу приведет к тому, что ваши файлы станут невозвратными.
Мы обязательно вышлем вам ключ расшифровки после получения оплаты, пожалуйста, цитируйте ниже наше обещание как это:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Следующее изображение демонстрирует предыдущий текст из окна и "руку с поднятым средним пальцем", которую не видно в красном окне

Ещё одно сообщения от вымогателей. 
Текст с картинки:
You've been hit with the oof
Follow the instructions shown in the popup or your files will be lost forever.

Перевод на русский язык:
Вы попали на деньги
Следуйте инструкциям в поп-ап окне, иначе ваши файлы будут утрачены.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
inconspicuous.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton