Если вы не видите здесь изображений, то используйте VPN.

среда, 26 апреля 2017 г.

Apocalypse-Missing

Missing Ransomware 

Apocalypse-Missing Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Smart Data Recovery или другое. На файле может быть написано: EXPLORER.EXE.MUI или что-то другое.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Apocalypse >> Kangaroo > Missing

К зашифрованным файлам добавляется расширение .missing 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: <note_title>.txt
Добавляется к названию каждого файла как составное расширение: .<note_title>.txt

👉 Подчёркиваю: <note_title> - это не название, а шаблон. 

Например, исходное название записки, которая прикрепляется к файлы, за который хотят получить выкуп: Contact_Data_Recovery.txt

Таким образом зашифрованный файл пример вид:
Document.doc.Contact_Data_Recovery.txt

Содержание записки о выкупе:
Your PC ran into a problem and all data got encrypted.(images, audios, videos, documents, backups... etc)
Email to recovery@mail15.com with the error information above to decrypt your PC.

Перевод записки на русский язык:
Ваш ПК имеет проблему и все данные зашифрованы (картинки, аудио, видео, документы, бэкапы и пр.)
Email на recovery@mail15.com с инфой об ошибке, чтобы расшифровать ваш ПК.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Во время первого запуска шифровальщик отображает окно с заголовком "Smart Data Recovery" с уникальным ID жертвы и ключом шифрования, которые операторы вредоноса должны сами скопировать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .missing 

Окно аналогичное как у Kangaroo Ransomware. Потому, по всей видимости, является продолжением Kangaroo Ransomware, которое принадлежит семейству Apocalypse Ransomware
 Скриншот с надписью "Kangaroo_Ransomware" из гибридного анализа

Окно, аналогичное тому, что было у Kangaroo

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<note_title>.txt
<random>.exe
RCX392D.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery@mail15.com
pcsolutions@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 декабря 2017:
Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: windows.reparation@mail.ru


Обновление от 19 декабря 2017:

Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: pcsolutions@mail.ru
<< Скриншот записки
Содержание записки:
Your PC ran into a critical problem and all files have been encrypted with .missing extension.
Including all partitions from all drives. Its impossible to decrypt your files by yourself or with thierd parties softwares and doing such a thing could damage all files forever.
The only safe method to recover your data is contacting the email below and purchasing for the right decrypter software.
Email: pcsolutions@mail.ru
ID code: .MISSING_AB98FE67FR 
Contact the email with your ID code and 1-2 files for free decryption to make sure the data is still safe and undamaged. If you dont receive an answer within 12 h, email again from another email service.
The faster you purchase the software the sooner you get back on track
Топик на форуме >>
 Примеры зашифрованных файлов на скомпрометированных сайтах

Обновление от 23 января 2019:

Топик на форуме >>
Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Пример записки для файла Document.doc
Document.doc.Contact_Data_Recovery.txt
Email: restore_2019@mail.ru
Примерная атака: Ориентированы на сервера предприятий и организаций. Подбирают пароль администратора и входят через удаленный рабочий стол, вручную копируют программу-вымогатель, запускают на выполнение и по окончании зачищают следы. 



Обновление от 27 июля 2019 или раньше:
Расширение: .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: dataforward@bk.ru



Сообщение от 9 января 2020:
Пост в Твиттере >>
Email: dataforward@bk.ru
Результаты анализов: VT + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Apocalypse (New Variant))
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 25 апреля 2017 г.

PyteHole

PyteHole Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название: pyte-hole или pyteHole. Разработчик: peter. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: my-Little-Ransomware >> PyteHole

К зашифрованным файлам добавляется расширение .adr

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа отсутствуют. Вероятно, пока недоработан. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивых PDF), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются только файлы в специfльной папке на рабочем столе. Директории дисков не затрагиваются. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pyte-hole.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

Сетевые подключения и связи:
traffic.pasmik.net (37.9.175.3:443, Словакия)
www.download.windowsupdate.com (88.221.14.137)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NM4, NMoreira4

NM4 Ransomware

NMoreira4 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 / RSA-2048, а затем требует выкуп в 3 - 4 BTC, чтобы вернуть файлы. Оригинальное название: NM4 (де-факто NMoreira 4). Новая итерация крипто-вымогателя R (тоже де-факто NMoreira 4).

© Генеалогия: NMoreira > NMoreia 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .NM4
Имена файлов после шифрования не меняются. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Recovers your files.html
 

Содержание записки о выкупе:
Your Key: ***
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
 Making it impossible to recover files without the correct private key.
 If you are interested in getting is the key and recover your files
 You should proceed with the following steps. 
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
To proceed with the purchase you must access one of the link below
• xxxxs://3fprihycwetwk2m7.onion.to/
• xxxxs://3fprihycwetwk2m7.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser: 
1. run your Internet browser (if you do not know what it is run the Internet Explorer);
2. enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button 'Connect' (if you use the English version);
7. a normal Internet browser window will be opened after the initialization;
8. type or copy the address xxxxs://3fprihycwetwk2m7.onion in this browser address bar; 
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
 If you have any problems during installation or use of Tor Browser, please, visit xxxxs://www.youtube.com and type request in the search bar 'Install Tor Browser Windows' and you will find a lot of training videos about Tor Browser installation and use. 
 Your Key: ***

Перевод записки на русский язык:
Ваш ключ: ***
Зашифрованы файлы!
Все ваши файлы зашифрованы. Использовано AES256-бит шифрование и RSA-2048-бит шифрование.
 Невозможно восстановление файлов без правильного закрытого ключа.
 Если вы желаете получить ключ и восстановить ваши файлы
 Вы должны выполнить следующие шаги.
Единственный способ безопасно расшифровать ваши файлы - это купить программу дешифровки и закрытый ключ.
Любые попытки восстановить ваши файлы сторонней программой будут фатальны для ваших файлов!
Чтобы продолжить покупку, вы должны перейти по одной из ссылок ниже 
• xxxxs://3fprihycwetwk2m7.onion.to/
• xxxxs://3fprihycwetwk2m7.onion.link/
Если ни одна из ссылок недоступна долгое время, то есть ещё один способ её открыть, вам надо установить Tor Browser
Если ваша личная страница недоступна долгое время, то есть ещё один способ открыть вашу личную страницу - установка и запуск Tor Browser:
1. запустите свой интернет-браузер (если вы не знаете, как он работает в Internet Explorer);
2. Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. дождитесь загрузки сайта;
4. на сайте вам будет предложено скачать Tor Browser; загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки;
5. запустите Tor Browser;
6. нажмите кнопку «Подключить» (если вы используете английскую версию);
7. после инициализации откроется обычное окно интернет-браузера;
8. Введите или скопируйте адрес xxxxs://3fprihycwetwk2m7.onion в адресной строке браузера;
9. нажмите ENTER;
10. сайт должен быть загружен; если по какой-то причине сайт не загружается, подождите минуту и ​​повторите попытку.
 Если у вас возникли проблемы при установке или использовании Tor-браузера, то посетите xxxxs://www.youtube.com и введите запрос в строке поиска "Установить браузер Tor Browser", и вы найдете много учебных видеороликов про "установка и использование Tor-браузера".
 Ваш ключ: ***


Скриншоты страницы Tor-сайта
До ввода ключа
После ввода ключа



Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов с помощью команд:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Завершает работу процессов: 
fb_inet_server.exe
pg_ctl.exe
sqlservr.exe

Завершает работу и отключает запуск на старте системы следующих служб: 
MSExchangeAB, MSExchangeAntispamUpdate, MSExchangeEdgeSync, MSExchangeFDS, MSExchangeFBA, MSExchangeImap4, MSExchangeIS, MSExchangeMailSubmission, MSExchangeMailboxAssistants, MSExchangeMailboxReplication, MSExchangeMonitoring, MSExchangePop3, MSExchangeProtectedServiceHost, MSExchangeRepl, MSExchangeRPC, MSExchangeSearch, wsbexchange, MSExchangeServiceHost, MSExchangeSA, MSExchangeThrottling, MSExchangeTransport, MSExchangeTransportLogSearc, MSExchangeADTopology...
BACKP, Exchange, Firebird, FirebirdServerDefaultInstance
MSSQL, MSSQL$SQLEXPRESS, MSSQLSERVER
SBS, SQL, SharePoint
post, postgresql, postgresql-9.0, tomcat, wsbex, wsbexchange

Используя wevtutil вредонос очищает следующие журналы: 
Setup
System
Security
Application

Список файловых расширений, подвергающихся шифрованию:
Это точно расширения .bmp, .cab, .doc, .docx, .jpeg, .jpg, .mp3, .pdf, .png, .xml, .xrm-ms ...
Шифруются многие типы файлов. Главными целями являются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Из шифрования исключаются следующие расширения: 
.bat, .dll, .exe, .ini, .lnk, .msi, .scf и находящиеся в исключаемых папках.

Из шифрования исключаются папки, которые содержат следующие строки: 
AppData
AVAST Software
AVG
AVIRA
Atheros
CONFIG.SYS
ESET
HakunaMatata
IO.SYS
MSDOS.SYS
NTUSER.DAT
NTDETECT.COM
Atheros
Realtek
Recovers files yako.html
Recovers your files.html
TeamViewer
Winrar
lntemet Explorer
Chrome
Firefox
Opera
Windows
boot
bootmgr
java
ntldr
pagefile.sys

Файлы, связанные с этим Ransomware:
Recovers your files.html
NMoreira_crypter.exe
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Timon and Pumbaa" = "<threat_name> supermetroidrules"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://oss.maxcdn.com/*** - адрес загрузки скрипта
xxxxs://3fprihycwetwk2m7.onion/
xxxxs://3fprihycwetwk2m7.onion.to/
xxxxs://3fprihycwetwk2m7.onion.link/
BM-2cTBJkrKCDN4ghP9ulwnJ9yhrnGVH9nuGM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Symantec. Ransom.Haknata >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017
NMoreira Boot Ransomware - май 2017 - май 2018 - май 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 апреля 2018:
Штамп времени: от 24 апреля 2017
Расширение: .NMCRYPT
Записка: Recovers your files.html
Tor-URL: xxxxs://lylh3uqyzay3lhrd.onion
🎥 Видеообзор от GrujaRS >>
Результаты анализов: HA + VT + VMRay



Обновление от 29 мая 2019:
Пост в Твиттере >>
После запуска перезагружает ПК и заменяет MBR, делая разделы диска недоступными. 
Расширение: .NMCRYPT или что-то ещё
Tor-URL: xxxx://lylh3uqyzay3lhrd.onion
Email: 6699nm@protonmail.com

➤ Содержание записки:
********************************************************
*************** RANSOMWARE NMoreira BOOT ***************
********************************************************
All your files have been ENCRYPTED!
YOUR ID: 006d01
If you want to restore them write us the 
e-mail: 6699nm@protonmail.com
If it is not answered within 24 hours, 
use the next step to receive a new contact email!
If neither of the links is online for a long period of time, 
there is another way to open it, you should install the Tor Browser 
installation and use of Tor Browser:
enter the address http://torproject.org/download/
on the site you will be offered to download Tor Browser; 
download and run Tor Browser;
connect with the button 'Connect' (if you use the English version);
type the address
http://lylh3uqyzay3lhrd.onion
enter key: _





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as NM4)
 Video rewiew
 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov, GrujaRS
 Symantec

 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

CTF

CTF Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует ввести ключ дешифрования, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ctf

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello... It's me...
Enter Decryption key
button [Decrypt]

Перевод записки на русский язык:
Привет... Это я...
Введи ключ дешифрования
кнопка [Decrypt]

Ключ генерируется с использованием MD5 из MAC-адреса компьютера.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CTF.exe
Gov_Str.docx .exe
wp-admin.exe.config
wp-admin.exe

Расположения:
\Temp\wp-admin.exe.config
\Temp\wp-admin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 About CTF
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 24 апреля 2017 г.

CryptoSomware

CryptoSomware Ransomware

FailedAccess Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: CryptoSomware. Другое, указанное на исполняемом файле: WindowsApplication1. Разработчик: houcemjouini или J.H.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .FailedAccess

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записки о выкупе:
You are Hacked by J.H
Your all files are encrypted
if you to decrypt send some money on given adress and take you key.
good by
Enter decryption key here:
[Decrypt]

Перевод записки на русский язык:
Вы взломана J.H.
Все ваши файлы зашифрованы
Если хотите расшифровать, пришлите деньги на указанный адрес и получите ключ.
До свидания
Введите ключ дешифровки:
[Расшифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoSomware.exe

Расположения:
C:\Users\houcemjouini\Desktop\projet sans fils\test folder

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *