суббота, 27 апреля 2019 г.

Zeropadypt

Zeropadypt Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель ничего не шифрует, но заполняет содержимое файлов нулями, а затем требует написать на email вымогателя, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия (сходство): 0kilobypt и похожие >> Zeropadypt



Этимология названия: 
Оригинальное название неизвестно. Я дал название от "zero padded" или "zero padding" (дополненный нулями, заполнение нулями) + слово "crypt". 
В итоге: zero + pad + (cr)ypt = ZeroPadypt
Шифрования нет, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt RansomwareOrdinypt Ransomware, названные по той же схеме. 

К зашифрованным файлам вместо расширения добавляется недорасширение: [id=xxxxxxxxxx][Email=asmo49@asmodeus.us]

Это недорасширение состоит из двух частей: 
[id=xxxxxxxxxx] - ID пострадавшего, в примере [id=aa47s5dnus]
[Email=asmo49@asmodeus.us] - email вымогателя


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-Me-Now.txt


Содержание записки о выкупе:
Your All Files Encrypted 
For Decrypt Your Data Contact Me: asmo49@asmodeus.us 
Your ID for Decryption: r4o7x*****
If You Try Decrypt your file and damage it is Gonna Cost You more Price to Decrypt 
you can Send 1MB Data For Decryption Test    


Перевод записки на русский язык:
Ваши все файлы зашифрованы
Для расшифровки ваших данных пишите мне: asmo49@asmodeus.us
Ваш ID для расшифровки: r4o7x*****
Если вы попытаетесь расшифровать ваш файл и повредите его, это будет стоить вам дороже, чем расшифровать 
вы можете отправить 1 МБ данных для тест-расшифровки



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробнее о файлах, заполненных нулями. 
 
Файл изображения не изменил размер до нулевого, а стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 
 
Файл записки не изменил размер до нулевого, но тоже стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 

На затронутом компьютере файлы можно восстановить из предыдущих версих файлов. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся поврежеднию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ-Me-Now.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asmo49@asmodeus.us
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter (myTweet)
 ID Ransomware (ID as Zeropadypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid
 *
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RobinHood, SystemR

RobinHood-SystemR Ransomware

RobinHood HT (Turkish, SystemR) Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RobinHood, Robinhood, SystemR. На файле написано: SystemR.exe, RobinHood.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.RobinHood

© Генеалогия: HiddenTear >> RobinHood (SystemR)


Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .robinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2019 г., но судя по данным VT, он загружался на анализ в конце марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
не содержит никакого текста или не доработан

Перевод записки на русский язык:
не содержит никакого текста или не доработан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .cab, .dat, .evtx, .gif, .ico, .ini, .jar, .log, .py, .rtf, .sys, .ttf, .txt, .xml, .xsd, .zip
Это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений, в том числе файл bootmgr.

Файлы, связанные с этим Ransomware:
RobinHood.exe
SystemR.exe
README.txt
encfiles.txt
log.txt
<random>.exe - случайное название вредоносного файла
SystemR.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Robinhood\encfiles.txt
\Robinhood\log.txt
C:\Users\developer\Desktop\Robbinhood\Robinhood-enc\Robinhood\obj\Debug\SystemR.pdb

➤ Несмотря на то, что в папке проекта одновременно используются слова Robbinhood, Robinhood-enc, Robinhood, этот вариант шифровальщика напрямую не связан с другими "робин-гудами", но тоже основан на HiddenTear.

Ранее описанные в моём Дайджесте: 
RobinHood (HelpYemen) Ransomware
Enc_RobbinHood Ransomware
RobinHood HT (Proyecto X) Ransomware

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Vitali Kremez, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 апреля 2019 г.

Sodinokibi

Sodinokibi Ransomware
BlueBackground Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.475-0.950 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: sodinokibi.exe. Разработка (копирайт): xihilujice.

Обнаружения: 
DrWeb -> Trojan.Encoder.28004
BitDefender -> Trojan.GenericKD.41239327
Malwarebytes -> Trojan.MalPack.GS
Kaspersky -> Trojan.Win32.DelShad.cr

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется не статическое, а персональное расширение: .<random_personal>

Примеры таких расширений: 
.2gi81a0o
.fpa6378b9h
.hg6u62

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется согласно назначенного жертве персонального расширения: <random_personal>-readme.txt

Примеры таких записок: 
2gi81a0o-readme.txt
fpa6378b9h-readme.txt
hg6u62-readme.txt

Содержание записки о выкупе:
Hello dear friend!
Your files are encrypted, and, as result you can't use it. You must visit our page to get instructions about decryption process.
All encrypted files have got hg6u62 extension.
Instructions into the TOR network
-----------------------------
Install TOR browser from https://torproject.org/
Visit the following link: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Instructions into WWW (The following link can not be in work state, if true, use TOR above):
-----------------------------
Visit the following link: http://decryptor.top/C2D97495C4BA3647
Page will ask you for the key, here it is:
fCxNid7JbKZd9ygwzDQS0s4vyyzP0uddSzGkLCH0ajRr9Pv7DLm6uqiCVxjbmyW/
CD5hLRwBFLdrfGqex0ghdS90qGRf5tlNOz9JtChkGYeGvCjo+ITexCSkEXPIxnhL
***

Перевод записки на русский язык:
Привет, дорогой друг!
Ваши файлы зашифрованы, и как реультат вы не сможете использовать их. Вы должны посетить нашу страницу, чтобы получить инструкции о процессе расшифровки.
Все зашифрованные файлы имеют расширение hg6u62.
Инструкция в сети TOR
-----------------------------
Установите браузер TOR с https://torproject.org/
Посетите следующую ссылку: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Инструкция в WWW (Следующая ссылка может не работать, если так, то используйте TOR выше):
-----------------------------
Посетите следующую ссылку: http://decryptor.top/C2D97495C4BA3647
Страница попросит у вас ключ, вот он:
fCxNid7JbKZd9ygwzDQS0s4vyyzP0uddSzGkLCH0ajRr9Pv7DLm6uqiCVxjbmyW/
CD5hLRwBFLdrfGqex0ghdS90qGRf5tlNOz9JtChkGYeGvCjo+ITexCSkEXPIxnhL
***

Другим информатором жертвы также можно назвать неприятный синий фон, который заменяет обои Рабочего стола. В ранней версии на нем не было никакой информативной надписи. 

Позже появилась надпись, указывающая на то, что нужно прочитать файл записки. См. новые варианты ниже в блоке обновлений. 

В записке предлагается посетить два сайта. Хватит и одного. Их содержание выглядит одинаково. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
sodinokibi.exe
2gi81a0o-readme.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://decryptor.top/C2D97495C4BA3647
xxxx://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, S!Ri, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 апреля 2019 г.

WannaOof

WannaOof Ransomware

Inconspicuous Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: в заголовке окна написано WannaOof. На файле написано: inconspicuous.exe

Обнаружения: 
BitDefender -> Trojan.GenericKD.31915800
Malwarebytes -> Ransom.FileCryptor

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .oof

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOU HAVE BEEN OOF'ED!!!
Uh oh, you're in trouble now kiddo. You've been oof'ed.
All your precious files are encrypted with 256 bit encryption.
Send 0.02 bitcoin to the address displayed on the left within the next 24 hours or your files will be lost forever. Upon payment we will send you the decryption key.
Any attempt to modify, decrypt your files, or remove this program will result in your files being irretrievable.
We will definitely send you a decryption key upon payment being received, please cite the below as our promise of this:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Перевод записки на русский язык:
ВЫ БЫЛИ УВОЛЕНЫ!!!
О, у тебя неприятности, детка. Вы были уволены.
Все ваши драгоценные файлы зашифрованы с 256-битным шифрованием.
Отправьте 0.02 биткоин на адрес, указанный слева, в течение следующих 24 часов, иначе ваши файлы будут потеряны навсегда. После оплаты мы вышлем вам ключ расшифровки.
Любая попытка изменить, расшифровать ваши файлы или удалить эту программу приведет к тому, что ваши файлы станут невозвратными.
Мы обязательно вышлем вам ключ расшифровки после получения оплаты, пожалуйста, цитируйте ниже наше обещание как это:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Следующее изображение демонстрирует предыдущий текст из окна и "руку с поднятым средним пальцем", которую не видно в красном окне

Ещё одно сообщения от вымогателей. 
Текст с картинки:
You've been hit with the oof
Follow the instructions shown in the popup or your files will be lost forever.

Перевод на русский язык:
Вы попали на деньги
Следуйте инструкциям в поп-ап окне, иначе ваши файлы будут утрачены.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
inconspicuous.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 20 апреля 2019 г.

HermesVirus HT

HermesVirus HT Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hermes Virus и Hermes. На файле написано: Hermes.exe. Вполне возможно, что тот же разработчик ранее сделал Marozka Ransomware. [Напишите мне, если это не так или подтвердите это]. 

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.RTH.1
Malwarebytes -> Ransom.HiddenTear
Kaspersky -> HEUR:Trojan.MSIL.Hesv.gen

© Генеалогия: HiddenTear >> HermesVirus HT

К зашифрованным файлам добавляется расширение: .hermes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину и вторую половину апреля 2019 г. Штамп времени: 5 апреля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HERMES DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) of this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted with .HERMES
You can recover files only with the help of a decryption and password, which, in turn, only we know.
It's impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem Without knowing the password
In no case do not change the files! But if you want, make a backup copy.
Email us at suporthermes@cock.li
If they are not decrypted, then after 48 hours they will be deleted !!!
To contact us you can use Internet browser Explorer. C:, Program Files, Internet Explorer

Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера зашифрована с самыми криптографическими алгоритмами.
Все зашифрованные файлы оформлены с .HERMES
Вы можете восстановить файлы только с помощью расшифровки и пароля, которые, в свою очередь, знаем только мы.
Это невозможно подобрать.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не меняйте файлы! Но если хотите, сделайте резервную копию.
Напишите нам на адрес suporthermes@cock.li
Если они не расшифрованы, то через 48 часов они будут удалены !!!
Для связи с нами вы можете использовать Internet Explorer. C:, Program Files, Internet Explorer

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HERMES DECRYPT FILES.txt
Hermes.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\HERMES DECRYPT FILES.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: suporthermes@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton