Если вы не видите здесь изображений, то используйте VPN.

четверг, 7 декабря 2017 г.

Santa Encryptor

Santa Encryptor Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью XOR или чего ещё, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Santa Encryptor. Copyright ©  2017. В проекте и на файле написано: ChristmasPresent. 🎅

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.


Изображение Санта-Клауса, использованное вымогателями

Образец этого крипто-вымогателя был найден в начале декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Oop's Your File's Have Been Encrypted!
What Happened To Your PC?
Your Important File's Have Been Encrypted
Many Of Your Documents, Photos, Databases And Other File's Are No Longer Accessible.
Because They Have Been Encrypted Using AES-256
How Can I Decrypt My File's?
Your Lucky Santa Is Here To Help You To Decrypt Your File's
With the Power Of Christmas Spirit! Santa Needs You To Send $150 Worth Of Bitcoin To
The Given Bitcoin Address Below
How Do I Pay?
Their Are A Few Links For You To Buy The Bitcoin,
Send $150 Worth Of Bitcoin To The Given Address To Decrypt Your File's
---
Send $150 Worth Of Bitcoin To This Address:
3GwQqxAy9EtRGxJAGyhuXEAgQCDNtSMovu [Copy]
[Check Payment]  [Decrypt]

Перевод записки на русский язык:
Упс, ваши файлы зашифрованы!
Что случилось с вашим компьютером?
Ваши важные файлы зашифрованы
Многие из ваших документов, фото, баз данных и другие файлы теперь недоступны. 
Потому что они зашифрованы с использованием AES-256
Как я могу расшифровать мои файлы?
На ваше счастье Санта здесь, чтобы помочь вам расшифровать файлы
С Силой Рождественского Духа! Вы должны отправить Санте $150 в биткоинах
На биткоин-адрес ниже
Как мне оплатить?
Есть несколько ссылок для вас, чтобы купить биткоины,
Отправить $150 на данный биткоин-адрес, чтобы расшифровать файлы
---
Отправьте $150 биткоин в этот адрес:
3GwQqxAy9EtRGxJAGyhuXEAgQCDNtSMovu [Copy]
[Check Payment]  [Decrypt]





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ChristmasPresent.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 3GwQqxAy9EtRGxJAGyhuXEAgQCDNtSMovu
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 6 января 2018:
Версия: 2.0.0.0
Copyright ©  2018
Комментарий: Present From Santa
Разработка: Santa's Worksho
Файл: ChristmasPresent.exe
Результаты анализов: VT


Обновление от 29 января 2018:
Версия: 3.0.0.0
Copyright ©  2018
Комментарий: ChristmasPresent
Разработка: Santas WorkShop
Email: SantaEncrypt0r_3.0@protonmail.ch
Название: ChristmasPresent
Файл: ChristmasPresent.exe

Результаты анализов: VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 6 декабря 2017 г.

Lime, NjRat

Lime Ransomware

NjRat Lime Ransomware

(шифровальщик-вымогатель, RAT, hack-tool) (первоисточник)

Translation into English


Этот крипто-вымогатель не является отдельным программным продуктом. Как отдельной программы на момент написания статьи его даже не было в "дикой природе". Разработчик хакерского инструмента под названием NjRat Lime Edition, начиная с версии 0.7.9, добавил в него модуль Ransomware. 

Использует AES-256 для шифрования файлов онлайн и оффлайн. При работе онлайн каждый раз генерирует уникальный ключ шифрования. При работе оффлайн использует автономный пароль для каждого диска, подключенных USB-устройств и расширений файлов. Может распространяться через USB. 

© Генеалогия: NjRat Lime Edition

К зашифрованным файлам добавляется расширение .Lime

Модуль этого крипто-вымогателя был включен в состав хакерского инструмента RAT в начале декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Хакерский инструмент NjRat Lime Edition был представлен на разных форумах:
xxxxs://nulled.to
xxxxs://hackforums.net
и других



На момент написания статьи описания были по ссылкам: 
xxxxs://www.nulled.to/topic/343891-079-njrat-lime-edition-ddos-ransomware-bitcoin-grabber-best-rat/
xxxxs://www.nulled.to/topic/338757-078-njrat-lime-edition-bitcoin-grabber-bot-killer-torrent-seeder/

Отличия v. 0.7.9 от v. 0.7.8: 
[+]Added Ransomware - Добавлен Ransomware
[+]Added Stress Test \\ slowloris and ARME
[+]Added PC specification \\ Get info CPU GPU RAM
[+]Added BTC wallet finder
[+]Added Changing Wallpaper
[+]Smarter USB Spread
[+]Smarter [Logs]
[+]Updated anti-process \\ Now if you click ON this make it always on even after restart until you press OFF
[+]Updated bitcoin \\ Also ON will make it run after restart until OFF is pressed
[+]Fixed MessageBox not being showed on top
[+]Fixed Copy To startup
[+]Fixed Active Window weird symbols
[+]And more bugs were Fixed 
[+]Updated Support Folder \\ Now it's cleaner and easy to read

Смотрите анимированное изображение на Яндекс.Диске:
https://yadi.sk/i/enUeQ3Y73QP9NE 

Проверка на безопасность >>

Записка с требованием выкупа называется просто Ransomware.txt 
Это только пример, настраиваемый по желанию хакера-вымогателя. 

Содержание записки о выкупе:
All your files have been locked
You can get them back, Just pay us 200$ as Bitcoin
Our bitcoin address is
BTC TEST 12345678990000120233
Watch this video to learn how to pay us https://www.youtube.com/watch?v=Ji9IwPId5Uk
This is not e joke. This is a ransomware

Перевод на русский язык:
Все ваши файлы блокированы
Вы можете вернуть их, просто заплатите нам 200$ в биткоинах
Наш биткоин-адрес
BTC TEST 12345678990000120233
Смотрите это видео, чтобы узнать, как платить нам https://www.youtube.com/watch?v=Ji9IwPId5Uk
Это не шутка. Это Ransomware

В демонстрации, которую можно увидеть по ссылке, показано место, где скрыт Ransomware и как его запустить. На скриншотах ниже это место показано. В ресурсе есть несколько изображений для обоев. В пример выбрано первое изображение. 


 С запиской о выкупе и текстом на экране

Без текстовой записки, только обои на экране


Технические детали

Распространяется на хакерских и кибер-андеграундных форумах. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также будет распространяться через USB-носители, если эта опция включена. 

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NjRat Lime Edition 0.7.9.exe - версия с Ransomware
Ransomware.txt - текстовый файл записки
NjRat Lime Edition 0.7.8.exe - версия без Ransomware

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ v. 0.7.8 >>
VirusTotal анализ v. 0.7.8 >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 ноября 2017: 
Расширение: .Lime
Записка: Ransomware.txt
BTC: 3R1hExyNKjQAtG2HWBqvKjgb6JykKyxdFe

Файл: NjRat Lime Edition 0.7.8.exe
Результаты анализов: AR + VT

Обновление от 25 декабря 2017:
Шифровальщик выделен из прежнего пакета и был представлен на русскоязычном форуме сайта xxxxs://lolz.guru с пометкой "Продам" пользователем dani777
Telegram: royalstoremd_777
Ссылка: xxxxs://lolz.guru/threads/316543/




Обновление от 31 января 2019:
Расширение: .Lime
Пост в Твиттере >>
C2: ibrahimolimat.ddns.net
Результаты анализов: VT + HA + IA


Обновление от 12 февраля 2019:
Топик на форуме >>
Расширение: .Lime
BTC: 13S7tnE54kqN9LECeTZENRvBvxwbKUrTYF
Записка: READ-ME-NOW.txt
Записка содержит большой список зашифрованных файлов, из-за этого размер текстового файла необычайно большой. 
➤ Содержание записки:
All your files have been encrypted. pay us 0.10 BITCOIN. Our address is 
13S7tnE54kqN9LECeTZENRvBvxwbKUrTYF
Your ID is [E5C0E031BCDB]
[[Encrypted Files]]
***************

Обновление от 1 апреля 2019: 
Топик на форуме >>
Расширение: .limes 
Записка (на турецком языке): READ-ME-NOW.txt
BTC: 1CTgSFstGpckdpGdzh3aVbCNmRRxNwdCqZ








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lime)
 Write-up, Topic of Support
 - Видеоролик, подтверждающий наличие модуля Ransomware
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 Alex (добровольный помощник)
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

вторник, 5 декабря 2017 г.

ExecutionerPlus

ExecutionerPlus Ransomware

CryptoJoker 2017 Plus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем, возможно, потребует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoJoker. На файле написано: CryptoJoker.exe.

© Генеалогия: Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 > CryptoJoker 2020

К зашифрованным файлам добавляются расширения:
.pluss.executioner
.destroy.executioner

Образец этого крипто-вымогателя найден в начале декабря 2017 г. Вероятно, пока находится в разработке или вымогатель просто тешит своё самолюбие. Ориентирован на англоязычных и турецких пользователей, что не мешает распространять его по всему миру.

Запиской без требования выкупа выступает HTML-страница Readme.html с заголовком "HEYKLOG-LOSTHAT".


Содержание записки без выкупа:
HEYKLOG-LOSTHAT
HEYKLOG & CRYPTONIC My Best Friend
Turkish Underground World ~
Guvenlik bir urun degil bir surectir.

Перевод записки на русский язык:
HEYKLOG-LOSTHAT
HEYKLOG & CRYPTONIC Мой лучший друг
Турецкий андеграундный мир ~
Безопасность - это не продукт.

Судя по тексту, вымогатели действительно ещё не созрели, а просто куражатся связями с турецким кибер-подпольем. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoJoker.exe
Readme.html

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://coin-hive.com
xxxx://crimin4lizm.org
xxxx://www.losthatdesign.com/
xxxx://h4lis.com/
xxxxs://www.cryptonic.info/blog/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не наблюдалось. 


=== ДЕШИФРОВЩИК === DECRYPTOR ===


Дешифровщик от Майкла Джиллеспи (Demonslay335):
Поддерживаемые варианты с расширениями: 
.fully.cryptoNar, .partially.cryptoNar, 
.fully.cryptojoker, .partially.cryptojoker, 
.pluss.executioner, .destroy.executioner, .plus.executioner, 
.fully.cryptolocker, .partially.cryptolocker




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
 Файлы можно дешифровать!
 Скачайте CryptoJokerDecrypter по ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ExecutionerPlus)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 3 декабря 2017 г.

Crypt0 HT

Crypt0 HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Crypt0 Ransomware (написано в записке о выкупе и сайте вымогателей). На файле написано: BankInformation.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Crypt0 HT

Этимология названия:
Название Crypt0 Ransomware уже занято! Оно используется с 12 сентября 2016 г. Поэтому к нынешнему добавлено HT — сокращение от HiddenTear. 

Статья о прошлогоднем Crypt0 Ransomware >>

К зашифрованным файлам добавляется случайное расширение <random>

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Образцы, которыми располагают исследователи на данный момент, не производят шифрование. 

Записка с требованием выкупа называется: READ_IT.html

Содержание записки о выкупе:
You have been victim of Crypt0 Ransomware
All your important files, photos, videos, documents, databases, have been encrypted with AES-256 and AES-128
A file called "READ_IT.html" will be dropped on your Desktop follow the instructions on how to make the payment
You Have 6 days to make the payment or else all of your files will be lost!
Hurry up! 

Перевод записки на русский язык:
Вы стали жертвой Crypt0 Ransomware
Все ваши важные файлы, фото, видео, документы, базы данных были зашифрованы с помощью AES-256 и AES-128
Файл с именем "READ_IT.html" будет скинут на ваш рабочий стол, следуйте инструкциям о том, как сделать платеж
У вас есть 6 дней для оплаты, иначе все ваши файлы будут потеряны!
Поторопитесь!

Дополнительным информатором жертвы является веб-страница на сайте вымогателей.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.html
BankInformation.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 2 декабря 2017 г.

Payment

Payment Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: PAYMENT. На файле написано: PAYMENT.exe или что-то другое. Среда разработки: Visual Studio 2010.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*. 
Пока находится в разработке и не шифрует файлы. 

Образец этого крипто-вымогателя был найден в начале декабря 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. Пока, судя по сообщениям исследователей, файлы не шифруются. 

Запиской с требованием выкупа выступает экран блокировки с заголовком PAYMENT:

Содержание записки о выкупе:
¡TODOS TUS DATOS HAN SIDO ENCRIPTADOS!
¡NO REINICIES EL SISTEMA O NO PODRÁS RECUPERARLOS!
¡CUALQUIER MOVIMIENTO QUE LLEVES A CABO PODRÍA
SUPONER LA PÉRDIDA TOTAL DE TUS DATOS!
----------------------------------------
SITUACIÓN ACTUAL
----------------------------------------
Lamentablemente has sido víctima de un *Ransomware*; un malware (virus) que priva, de forma absoluta, al usuario del acceso a la información contenida en las unidades de almacenamiento conectadas al sistema; esto significa:
*Documentos*, *Imágenes*, *Vídeos*.... ENCRIPTADOS (INSERVIBLES) por medio de un código de cifrado que únicamente el desarrollador del malware conoce, siendo, por ende, el único capáz de restaurar los archivos a su estado original.
Se solicita a la víctima un ingreso en BitCoins (Moneda no rastreable) vía internet a cambio del código de cifrado, necesario para la recuperación de sus datos.
----------------------------------------
CONDICIONES DE RECUPERACIÓN
----------------------------------------
Una vez comprendida la situación y su gravedad, procederé a explicarte las sencillas condiciones que has de seguir para RECUPERAR TU INFORMACIÓN ENCRIPTADA:
> DEBERÁS LLEVAR A CABO UN INGRESO BANCARIO, VÍA INTERNET, ANTES DE LAS 06:00 AM [+01:00 UTC]. Lo cual podrás realizar mediante las intrucciones facilitadas más abajo, donde también se especifica la cantidad a ingresar; no es relevante desde dónde se realice el ingreso, puede ser en este sistema o en cualquier otro.
> NO INTENTES ACCEDER A TU SISTEMA DE NINGUNA FORMA
Cualquier movimiento sospechoso; como apagar/reiniciar el sistema, cerrar sesión, intentar acceder al administrador de tareas o al command prompt. etc; será interpretado como un ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE


Перевод записки на русский язык:
Все ваши данные зашифрованы!
Не перезагружайте систему, или вы не сможете их восстановить!
Любые действия, которое вы сделаете, могут привести к полной потере ваших данных!
----------------------------------------
ТЕКУЩАЯ СИТУАЦИЯ
----------------------------------------
К сожалению, вы стали жертвой *Ransomware*; вредоносной программы (вирус), которая абсолютно лишает пользователя доступа к информации, содержащейся в блоках хранения, подключенных к системе; это означает:
*Documents*, *Images*, *Videos* .... ЗАШИФРОВАНЫ (БЕСПОЛЕЗНЫ) с помощью кода шифрования, который знает только разработчик вредоносного ПО, поэтому это единственная возможность восстановить файлы в исходное состояние.
Пользователю предлагается перевести BitCoins (неотслеживаемая валюта) через Интернет в обмен на код шифрования, необходимый для восстановления его данных.
----------------------------------------
УСЛОВИЯ ВОССТАНОВЛЕНИЯ
----------------------------------------
Как только ситуация и её серьезность будут поняты, я приступлю к объяснению простых условий, которые вы должны соблюдать, чтобы ВОССТАНОВИТЬ ВАШУ ЗАШИФРОВАННУЮ ИНФОРМАЦИЮ:
> ВЫ ДОЛЖНЫ СДЕЛАТЬ БАНКОВСКИЙ ПЕРЕВОД, В ИНТЕРНЕТЕ, ДО 06:00 [+01: 00 UTC]. Это вы можете сделать с помощью приведённых ниже инструкций, где также указывается сумма для перевода; не имеет значения, откуда производится перевод, он может быть в этой системе или в любой другой.
> НЕ ПОПЫТАЙТЕСЬ ПОЛУЧИТЬ ДОСТУП К ВАШЕЙ СИСТЕМЕ ЛЮБЫМ ПУТЁМ
Любое подозрительное движение; как выключение / перезапуск систему, выход из системы, попытка получить доступ к диспетчеру задач или командной строке, и т.д. будут интерпретироваться как ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PAYMENT.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Код разблокировки: 1029384756
Файлы:  svchost.exe, frdom.exe
Фальш-имя: Svchost
Фальш-копирайт: Microsoft
IP: 216.58.205.238:80 (США)
Результаты анализов: VB + VT + AR
Пока также не шифрует. 


***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Andrew Ivanov
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *