SyncCrypt

SyncCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп от 0.1 BTC и выше, чтобы вернуть файлы. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kk

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются:
readme.html и readme.png

Файл reame.png

Файл readme.html

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military grade encryption. The encrypted files have the additional extension .kk. You won't be able to retrieve your data unless you purchase the software provided by us. YOU HAVE EXACTLY 48 HOURS TO MAKE A DECISION OR YOU'LL NEVER SEE YOUR FILES AGAIN. Any atempt to recover your files on your own could damage the files permanently. There is no workaround, that's how encryption is supposed to work. In order to retrieve your data, please follow the steps below:
1. Go to Desktop folder, and open AMMOUNT.txt from within README folder. Obtaining the decryption sofware requires that you send EXACTLY the ammount of Bitcoin (without the transaction fee) that is written within the text file to the following address:
 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Note that if the ammount sent doesn't match EXACTLY the ammount in the text file, you will NOT receive the sofware, as it's the only way to validate and confirm the payment.
2. After the payment is done, send an email to ALL of the following addresses getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com containg:
 The file named KEY, located within the README folder on your Desktop, as an Attachment - this file is a locked version of the decryption key (that must be unlocked by us), used to recover your files. DO NOT delete it if you plan to get your files back
 The transaction id of the Bitcoin payment
Emails that dont contain the KEY file attached will be automatically rejected.
As soon as we confirm the payment, you will receive on your email address the decription key together with the required software and the instructions to recover your files.
Dont forget, TIME'S RUNNING OUT

Слово decription написано с ошибкой: I вместо Y

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
используя шифрование военного класса. Зашифрованные файлы имеют дополнительное расширение .kk. Вы не сможете получить данные, если не приобретете программу, предоставленную нами. У ВАС ЕСТЬ РОВНО 48 ЧАСОВ, ЧТОБЫ ПРИНЯТЬ РЕШЕНИЕ, ИЛИ ВЫ УЖЕ НИКОГДА НЕ УВИДИТЕ ВАШИ ФАЙЛЫ. Любая попытка восстановить ваши файлы самому может повредить файлы навсегда. Нет обходного пути, т.к. шифрование сработало. Чтобы получить данные, выполните следующие действия:
1. Перейдите на рабочий стол и откройте файл AMMOUNT.txt из папки README. Получение программы для дешифрования требует, чтобы вы отправили ТОЧНОЕ количество биткойнов (без комиссии за транзакцию), которое написано в текстовом файле, по следующему адресу:
 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Обратите внимание, что если отправленное количество не соответствует ТОЧНОМУ количеству в текстовом файле, вы НЕ получите программну, т.к. это единственный способ проверить и подтвердить платеж.
2. После того, как платеж будет выполнен, отправьте email на ВСЕ следующие адреса: getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com containg:
 Файл с именем KEY, расположенный в папке README на рабочем столе, в качестве вложения - этот файл является заблокированной версией ключа дешифрования (который должен быть разблокирован нами), который используется для восстановления ваших файлов. НЕ удаляйте его, если вы планируете вернуть свои файлы.
 ID транзакции оплата в биткойн
Письма, которые не содержат прикрепленного файла KEY, будут автоматически отклонены.
Как только мы подтвердим платеж, вы получите на свой email ключ дешифрования вместе с нужной программой и инструкциями по восстановлению ваших файлов.
Не забывайте, ВРЕМЯ ИДЁТ

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (в данном случае WSF-файл), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

При запуске и выполнении WSF-файла, содержащийся в нём JScript сценарий загружает изображение с одного из трех сайтов, указанных ниже.
Встроенный в это изображение zip-файл содержит файлы sync.exe, readme.html и readme.png, которые являются главными компонентами SyncCrypt Ransomware. После загрузки изображения в папку %Temp% под случайным именем из zip-файла будут извлечены файлы в папку %Temp%\BackupClient. 

Примечание:
Метод, используемый для загрузки и установки Ransomware, связан с тем, что WSF-сценарий загружает изображения со встроенными ZIP-файлами, которые содержат необходимые файлы для заражения компьютера шифровальщиком. Этот метод делает изображения незаметными для почти всех поставщиков антивирусных программ, представленных на VirusTotal.
Таким образом, WSF-сценарий, который разработан Microsoft и внедрен в её ОС Windows — это ещё одна легитимная мина, которая взята на вооружение злоумышленниками и используется для заражения ПК и вымогательства. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .adp, .ach, .arw, .asp, .aspx, .backup, .backupdb, .bak, .bat, .bay, .bdb, .bgt, .blend, .bmp, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .class, .cls, .config, .contact, .cpp, .craw, .crt, .crw, .css, .csv, .d3dbsp, .dbx, .dcr, .dcs, .dds, .der, .dif, .dit, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .dxf, .edb, .eml, .eps, .fdb, .flf, .fpx, .frm, .gif, .gpg, .gry, .hbk, .hpp, .html, .hwp, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .jar, .java, .laccdb, .latex, .ldf, .lit, .lua, .mapimail, .max, .mbx, .mdb, .mfw, .mlb, .mml, .mmw, .midi, .moneywell, .mocha, .mpp, .nef, .nml, .nrw, .oab, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .otg, .oth, .otp, .ots, .p12, .pas, .pab, .pbm, .pcd, .pct, .pcx, .pdf, .pef, .pem, .pfx, .pgm, .php, .pict, .pntg, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ppz, .prf, .psd, .ptx, .pub, .qbw, .qbx, .qpw, .raf, .rtf, .safe, .sav, .save, .sda, .sdc, .sdd, .sdf, .sdp, .skp, .sql, .sqlite, .sqlite3, .sqlitedb, .stc, .std, .sti, .stm, .stw, .sxc, .sxg, .sxi, .sxm, .sxw, .tex, .txt, .tif, .tiff, .vcf, .wallet, .wb1, .wb2, .wb3, .wcm, .wdb, .wpd, .wps, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlam, .xlc, .xlk, .xlm, .xlt, .reg, .rspt, .profile, .djv, .djvu, .ms11, .ott, .pls, .png, .pst, .xltm, .xltx, .xlw, .xml, .r00, .7zip, .vhd, .aes, .ait, .apk, .arc, .asc, .asm, .asset, .awg, .back, .bkp, .brd, .bsa, .bz2, .csh, .das, .dat, .dbf, .db_journal, .ddd, .ddoc, .des, .design, .erbsql, .erf, .ffd, .fff, .fhd, .fla, .flac, .iif, .iiq, .indd, .iwi, .jnt, .kwm, .lbf, .litesql, .lzh, .lzma, .lzo, .lzx, .m2ts, .m4a, .mdf, .mid, .mny, .mpa, .mpe, .mpeg, .mpg, .mpga, .mrw, .msg, .mvb, .myd, .myi, .ndf, .nsh, .nvram, .nxl, .nyf, .obj, .ogg, .ogv, .p7b, .p7m, .p7r, .p7s, .package, .pages, .pat, .pdb, .pdd, .pfr, .pnm, .pot, .psafe3, .pspimage, .pwm, .qba, .qbb, .qbm, .qbr, .qby, .qcow, .qcow2, .ram, .rar, .ras, .rat, .raw, .rdb, .rgb, .rjs, .rtx, .rvt, .rwl, .rwz, .scd, .sch, .scm, .sd2, .ser, .shar, .shw, .sid, .sit, .sitx, .skm, .smf, .snd, .spl, .srw, .ssm, .sst, .stx, .svg, .svi, .swf, .tar, .tbz, .tbz2, .tgz, .tlz, .txz, .uop, .uot, .upk, .ustar, .vbox, .vbs, .vcd, .vdi, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vor, .wab, .wad, .wav, .wax, .wbmp, .webm, .webp, .wks, .wma, .wp5, .wri, .wsc, .wvx, .xpm, .xps, .xsd, .zip, .zoo (369 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы в следующих директориях:
Windows\
Program files (x86)\
Program files\
Programdata\
Winnt\
\System volume information\
\Desktop\readme\
\$Recycle.bin\

Файлы, связанные с этим Ransomware:
README (папка)
readme.html
readme.png
KEY
AMMOUNT.txt - содержит сумму выкупа
<random>.exe - содержит зашифрованный ключ дешифрования
sync.exe
CourtOrder_845493809.wsf - вложение в email с шифровальщиком
EVVnMkSs.jpg
EVVnMkSs.zip

Расположения:
\Desktop\README\readme.html
\Desktop\README\readme.png
\Desktop\README\KEY
\Desktop\README\AMMOUNT.txt
%Temp%\BackupClient\sync.exe
C:\Windows\System32\Tasks\sync
%Temp%\BackupClient\
%Temp%\BackupClient\readme.html
%Temp%\BackupClient\readme.png
%Temp%\BackupClient\EVVnMkSs.jpg
%Temp%\BackupClient\EVVnMkSs.zip
%UserProfile%\AppData\Local\Temp\BackupClient\
%UserProfile%\AppData\Local\Temp\BackupClient\tmp.bat
%UserProfile%\AppData\Local\Temp\BackupClient\sync.exe
%UserProfile%\AppData\Local\Temp\BackupClient\readme.html
%UserProfile%\AppData\Local\Temp\BackupClient\readme.png

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FE99549B-A4F1-4534-9658-2AEAAE683D25}\Path \sync
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Email: getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com
xxxxs://image.ibb.co/mxRqXF/arrival.jpg
xxxx://sm.uploads.im/X8IOl.jpg
xxxx://185.10.202.115/images/arrival.jpg

Загружаемое изображение с трёх адресов выше (EVVnMkSs.jpg)

См. также ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
Гибридный анализа на файл sync.exe >>
VirusTotal анализ >>
VirusTotal Анализ на файл sync.exe >>
VirusTotal анализ на загружаемое изображение >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SyncCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Strix, Null

Strix Ransomware
Null Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Strix. На файле написано: strix.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .null

Тестовой образец этого крипто-вымогателя был обнаружен в середине августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files are encrypted with AES-256! It's impossible to recover your files without our decryption service and this programm. It's recommended that you turn off your antivirussoftware now because it may removes this programm.

Перевод записки на русский язык:
Ваши файлы зашифрованы с помощью AES-256! Невозможно восстановить файлы без нашей службы дешифрования и этой программы. Рекомендуется отключить антивирусную программу, т.к. она может удалить эту программу.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
strix.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

InfiniteTear

 InfiniteTear Ransomware

The_Last Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES/RSA, а затем требует выкуп в 260$ в BTC, чтобы вернуть файлы. Оригинальное название: The_Last. На файле написано: The_Last.exe. Имеется также комментарий: InfiniteTear_Protector.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> InfiniteTear

К зашифрованным файлам добавляется расширение .JezRoz

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Important_Read_Me.txt

Содержание записки о выкупе (Illiteracy of the original):
AAAA323630***
.......................END........................
What happened to my computer?
All of your personal files, such as documents, photos, videos, databases and files that you need, have been removed from your secure cryptography.
You need to pay for your personal files to be decrypted.
Maybe you're looking for a way out of the internet to reopen your files. We will endow you no one but us able to reopen your encrypted files!
So what should I do now?
All you need to do is pay the amount requested to our Bitcoin account and then send the personal identification key to our email address.
Why should I trust you?
We are not dishonest users and guarantee the return of all your missing files. To do this, you can decode 2 of your files by sending us free of charge.
Warning:
After this message, you have only 7 days to pay the requested amount of time. After that time, your key will be deleted from our server and you will not be able to access any of your files even if the requested amount is paid and remember any attempts to manipulate your encrypted files by the program.
Miscellaneous or other people may cause the file to be lost.
Pament : 260$
Email : InfinityShadow@Protonmail.com
BitCoin Address : 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Перевод записки на русский язык ("грамота" оригинала):
Что случилось с моим компьютером?
Все ваши личные файлы, такие как документы, фото, видео, базы данных и файлы, которые вам нужны, были удалены из вашей защищенной криптографии.
Вам нужно заплатить за ваши дешифрованные личные файлы.
Возможно, вы ищете способ в Интернете, как открыть ваши файлы. Мы не позволим никому, кроме нас открыть ваши зашифрованные файлы!
Итак, что мне теперь делать?
Все, что вам нужно сделать, это заплатить требуемую сумму на наш счет Bitcoin, а затем отправить персональный идентификационный ключ на наш email-адрес.
Почему я должен вам доверять?
Мы не являемся нечестными пользователями и гарантируем возврат всех ваших недостающих файлов. Для этого вы можете декодировать 2 ваших файла, отправив нам бесплатно.
Предупреждение:
После этого сообщения у вас есть только 7 дней, чтобы заплатить запрошенное количество времени. После этого ваш ключ будет удален с нашего сервера, и вы не сможете получить доступ к каким-либо вашим файлам, даже если запрашиваемая сумма будет оплачена, и запомните, все попытки манипулировать вашими зашифрованными файлами программой.
Разное или другие люди могут привести к потере файла.
Оплата: 260$
Email: InfinityShadow@Protonmail.com
Bitcoin-адрес: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует Telegram как C&С-сервер для пересылки информации пользователя.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} recoveryenabled no
'<SYSTEM32>\cmd.exe' /C vssadmin.exe delete shadows /all /Quiet
'<SYSTEM32>\cmd.exe' /C WMIC.exe shadowcopy delete

➤ Очищает журналы Windpws, приложений, событий безопасности, используя команды:
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Application
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Security
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl System

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
Important_Read_Me.txt
The_Last.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
geoip.nekudo.com (95.85.46.50)
api.telegram.org (149.154.167.197)
Email: infinityshadow@protonmail.com
BTC: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 января 2018:

Пост в Твиттере >> 
Мой пост в Твиттере >>
Версия: InfiniteTear v.2
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
BTC: 13CLqsz5FeRtYhFNmMaRgnazs4ekkgxwk5
Сумма выкупа: 120$
Зашифрованные файлы переименовываются: 
S6-iSF0PsPeGWckSR.Infinite, S5-Z7ZUM3fFar93f.Infinite


Обновление от 2 февраля 2018: 
Пост в Твиттере >>
Версия: InfiniteTear v.3
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
Запрос проверки IP: http://icanhazip.com
Файлы: Host32.exe, Host64.exe
Фальш-копирайт: Microsoft
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InfiniteTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Michael Gillespie
 Lawrence Abrams‏ 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MMM

MMM Ransomware

TripleM Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью сочетания RSA + AES + HMAC, а затем требует выкуп в 1.2 BTC, чтобы вернуть файлы. Оригинальное название: MMM и TripleM (т.е. три MMM). 

© Генеалогия: MMM (TripleM). 

К зашифрованным файлам добавляются расширения:
0-я версия: .0x009d8a
1-я версия: .triple_m
2-я версия: .MMM
В следующих версиях расширение не используется. 

Активность первоначальной версии этого крипто-вымогателя пришлась на начало августа 2017 г. Другая версия была замечена в конце декабря 2017-го. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
На август пришлась 0-я версия, в конце декабря - 1-я версия. 

Записка с требованием выкупа в ранней версии называется: RESTORE_0x009d8a_FILES.html

Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR: QRM2TR6***
What happend with my files?
All your databases corrupted. All your files has been locked ( encrypted) with Ransomware
 For encrypting we using strong cryptographic algorithm AES256+RSA-2048 .Do not attempt to recover the files yourself.
 You might corrupt your files. We also rewrite all old blocks on HDD and you don`t recover your files with Recuva and other... 
 YOU HAVE ONLY 6 DAYS FOR BUY YOUR DECRYPTION TOOL 
 It is not advised to use third party tools to decrypt,if we find them you ,you will forever lose your files. 
How i can restore my files?
Go to BTC exchange services and buy 1,2 Bitcoin 3) Send it to address 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT and write us email to address unransom@mail.com for giving your key and decryption tool. In subject write your Unique ID 
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Online wallets: BlockchainInfo, Block.io 

Перевод записки на русский язык:
ВАШ УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР: QRM2TR6 ***
Что случилось с моими файлами?
Все ваши базы данных повреждены. Все ваши файлы заблокированы (зашифрованы) с помощью Ransomware
  Для шифрования мы используем сильный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь самостоятельно восстановить файлы.
  Вы можете повредить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстанавливаете свои файлы с помощью Recuva и других ...
  У ВАС ЛИШЬ 6 ДНЕЙ ДЛЯ ПОКУПКИ ИНСТРУМЕНТА ДЕШИФРОВАНИЯ
  Не рекомендуется использовать сторонние инструменты для дешифрования, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
Перейдите на службы обмена BTC и купите 1,2 Bitcoin 3) Отправьте их на адрес 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT и напишите нам на email-адрес unransom@mail.com для предоставления ключа и дешифрования. В теме укажите свой уникальный идентификатор
Руководство по BTC:
Лучшие сайты обмена BTC: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Онлайн-кошельки: BlockchainInfo, Block.io 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
MMM.exe (triple_m.exe)
RESTORE_0x009d8a_FILES.html - в 0-й версии
RESTORE_triple_m__FILES.html - в 1-й версии

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT - в 0-й версии
BTC-2: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw - в 1-й версии
Email: unransom@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 декабря 2017:
Шифрование: AES128 + RSA-2048
Пост в Твиттере >>
Название: TripleM (MMM) Ransomware v.1
Версия файла: 1.3.3.9
Расширение: .triple_m
Файл ключа шифрования: *.info
Файлы: MMM.exe, temp_1.bat, reco.bat, bcedit.bat, _ReadMe_.txt.info, _ReadMe_.txt.triple_m
Записка: RESTORE_triple_m__FILES.html
Email: unransom@mail.com
BTC: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw
Результаты анализов: VT + HA + IA
Удаляет теневые копии файлов командой: vssadmin delete shadows /all /quiet

 

Скриншот записки и файлов

Обновление от 5 мая 2018:
Пост в Твиттере >>
Расширение: .MMM
GET_YOUR_FILES_BACK.html
BTC: 1MMMSA9WJvM7BjhEqy4cQ4gjUXgKKTJcK3

Обновление от 26 декабря 2018:
Пост в Твиттере >>
Самоназвание: MMM Reborn
Записка: IF_YOU_NEED_FILES_READ_ME.html
Email: mmm_reborn@tutamail.com
BTC: 18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
Файлы зашифрованы в hex-формате и сопровождаются XML-файлом с зашифрованным ключом *.info. Имя файла зашифровано. 
Пример имени зашифрованного файла и файла с ключом: 
BA089CAE47A022AD42AFC7573ED986A1

BA089CAE47A022AD42AFC7573ED986A1.info

➤ Содержание записки: 
NOT YOUR LANGUAGE? Use Google Translate
What happened to your files?
 All of your files were encrypted by a strong encryption with RSA2048
How did this happen? •Specially for your PC was generated personal RSA2048 Key, both public and private.
•ALL YOUR FILES were encrypted with the public key, which has been transferred to your PC via the Internet.
•Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Server
What do I do? 
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way. 
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment. 
Your personal ID: [redacted 8 lowercase alphanum].[redacted 3 lowercase alphanum] 
Your personal wallet adress:  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
 Your price start from 222 BTC , after week he is 333 BTC , after 3 week he is 444 BTC. 10 January your secret key has been deleted. 
Instruction: 
---- Buy Bitcoin on btc exchange sites (Coinbase,Localbitcoins, Coinmama and another).For buy Bitcoin you need confirm your Identify. 
---- Buy Bitcoin offline in ATM or from seller (watch https://coinatmradar.com/blog/how-to-buy-bitcoins-with-bitcoin-atm/ ) 
2)send Bitcoins to  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
3)Write us to email mmm_reborn@tutamail.com 
4)After we confirm payment - we send you decryption software and Private Key for decrypt your files. 

Обновление от 23-26 марта 2019:
Топик на форуме >>
Пост в Твиттере >>
Подробности об этой версии на форуме BC >>
В этой версии используется встроенный RSA-2048 открытый ключ для защиты уникальных безопасно сгенерированных 16-битных AES-128 и IV 16-битных ключей для каждого файла. Имя файла зашифровано. 
Самоназвание: MMM REBORN V4 ( 4.0.1.6), Copyright © 2018-2019 TRIPLEM
Записка: DECRYPT_FILES.txt
Email: mmm_reborn@tutamail.com
BTC: 1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
Файл EXE: RebornMMM.exe
Другие файлы: wrlvdtte.5g4.txt, ecorp.bat
Результаты анализов: VT + IA + AR

➤ Содержание записки:
TRIPLEM(MMM) REBORN RANSOMWARE v4
What happened to your files?
Your stupid IT Dept. not secure your systems and all of your files were encrypted.
Your files were encrypted by a strong encryption with RSA2048.
What do I do?
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way.
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment.
You can send to mmm_reborn@tutamail.com 2-3 random files < 2mb and we decrypt it for free.
!!!DO NOT TRY RESTORE YOUR FILES.
!!!DO NOT USING DIFFERENT DECRYPTION SOFTWARE. 
!!!FILES MAY BE DECRYPTED ONLY WITH OUR SOFTWARE.
YOUR PERSONAL DETAILS
YOUR DECRYPTION PRICE: 
IF YOU PAY WITHIN 7 DAY - 8 BITCOIN 
IF YOU NOT PAY WITHIN 7 DAY - 12 BITCOIN 
WALLET ADRESS:1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
UNIQ USER ID: wrlvdtte.5g4
INSTRUCTION
1) Buy Bitcoin on btc exchange sites (Coinbase, Localbitcoins, Coinmama and another).
For buy Bitcoin you need confirm your Identify.
Buy Bitcoin offline in ATM or from seller https://coinatmradar.com/ 
2) Send BITCOIN to your personal wallet adress 
1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
3) Write us to email mmm_reborn@tutamail.com in subject write your UNIQ USER ID
4) After we confirm payment - we send you  decryption software and Private Key for decrypt your files. 
TRIPLEM(MMM) REBORN RANSOMWARE v4


Обновление от 1-16 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Самоназвание: TRIPLEM(MMM) REBORN RANSOMWARE v4
Записка: DECRYPT_FILES.txt
Email: mmm_reborn@tutamail.com 
BTC: 1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
Результаты анализов: VT + IA + AR  / VT + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
****

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MMM)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 A Shadow
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private