DBGer

DBGer Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. 

© Генеалогия: Satan (Satan RaaS) >> DBGer

К зашифрованным файлам добавляется расширение: .dbger
 .
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _How_to_decrypt_files.txt

Содержание записки о выкупе:
Some files have been encrypted
Please send ( 1 ) bitcoins to my wallet address
If you paid, send the machine code to my email
I will give you the key
If there is no payment within three days,
we will no longer support decryption
If you exceed the payment time, your data will be open to the public download
We support decrypting the test file.
Send three small than 3 MB files to the email address
BTC Wallet : 3EbN7FP8f8x9FPQQoJKXvyoHJqSkKmAHPY
Email: dbger@protonmail.com
Your HardwareID: *****

Перевод записки на русский язык:
Некоторые файлы были зашифрованы
Пожалуйста, отправьте (1) биткоин на адрес моего кошелька
Если вы заплатили, отправьте код машины на мой email
Я дам вам ключ
Если нет оплаты три дня,
мы не будем поддерживать дешифровку
Если вы просрочите время оплаты, ваши данные будут открыты для публичной загрузки
Мы поддерживаем дешифрование тест-файла.
Отправьте три файла менее 3 МБ на email-адрес 
BTC-кошелек : 3EbN7FP8f8x9FPQQoJKXvyoHJqSkKmAHPY
Email: dbger@protonmail.com
Ваш HardwareID: *****

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Теперь использует не только EternalBlue, но и Mimikatz (утилиту для сброса паролей с открытым исходным кодом). Кроме того используется также netcat (утилита Unix, позволяющая устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их). 

Список файловых расширений, подвергающихся шифрованию:
.cat, .csv, .db, .doc, .gif, .htm, .ico, .inf, .ini, .jpg, .png, .ppt, .sam, .shw, .txt, .url, .xls, .xml, .wav, .wb2, .wk4, .wpd, .wpg и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений.

Файлы, связанные с этим Ransomware:
_How_to_decrypt_files.txt
mmkt.exe
<random>.exe - случайное название
uname.tmp
upass.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dbger@protonmail.com
BTC: 3EbN7FP8f8x9FPQQoJKXvyoHJqSkKmAHPY
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 января 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .5ss5c
Email: 5ss5c@mail.ru
Записка (на китайском): _如何解密我的文件_.txt
Результаты анализов: VT + AR + IA + IA / VT + AR

➤ Содержание записки: 
部分文件已经被加密
如果你想找回加密文件,发送 (1) 个比特币到我的钱包
从加密开始48小时之内没有完成支付,解密的金额会发生翻倍.
如果有其他问题,可以通过邮件联系我
您的解密凭证是 : 
***
Email:[5ss5c@mail.ru]
---
Перевод на русский:
Некоторые файлы были зашифрованы
Если вы хотите получить зашифрованный файл, отправьте (1) биткойны на мой кошелек
Если платеж не будет завершен за 48 часов с начала шифрования, сумма расшифровки удвоится.
Если у вас есть другие вопросы, вы можете связаться со мной по электронной почте
Ваши данные для расшифровки:
***
Email:[5ss5c@mail.ru]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Satan)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Donut

Donut HT Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: donut. На файле написано: donut.exe.

© Генеалогия: ✂️ HiddenTear >> Donut 

К зашифрованным файлам добавляется расширение: .donut

Изображение принадлежит шифровальщику

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Здесь видно, что текст не поместился в ширину окна экран блокировки. Ниже смотрите скриншот с полным текстом. 

Содержание записки о выкупе:
Hi.
All your files have been ENCRYPTED by DONUT Ransomware
Do you want to restore your files?
Your should buy DonutDecryptor.
Current Price $100.
For payment your need cryptocurrency BitCoin.
Write to our email - donutmmm @tutanota.com
and tell us your unique ID and BitCoin transaction.
Your Uniq ID is: *****
BitCoin wallet is: 1MVB7wbeF1yLGRCUmVdgiDWMD7yR

Перевод записки на русский язык:
Привет.
Все ваши файлы были ЗАШИФРОВАНЫ DONUT Ransomware
Вы хотите вернуть свои файлы?
Вы должны купить DonutDecryptor.
Текущая цена $100.
Для оплаты нужна криптовалюта BitCoin.
Напишите на наш email - donutmmm @ tutanota.com
и сообщите нам свой уникальный ID и BitCoin транзакцию.
Ваш уник. ID: *****
Кошелек BitCoin: 1MVB7wbeF1yLGRCUmVdgiDWMD7yR

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
donut.exe
DonutDecryptor.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: donutmmm@tutanota.com
xxxx://88.99.48.80/donut/client.php (88.99.48.80:80)
BTC: 1MVB7wbeF1yLGRCUmVdgiDWMD7yR
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Donut )
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RedEye

RedEye Ransomware

(фейк-шифровальщик, MBR-модификатор, деструктор)

Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: RedEye Ransomware. На файле написано: RedEye.exe и Windows Update. Разработчик: iCoreX. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: предыдущие Ransomware >> Annabelle > RedEye

К зашифрованным файлам добавляется расширение: .RedEye

Изображение принадлежит шифровальщику

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки/

Содержание записки о выкупе:
Your IP: ***
Your PC will be destroyed in 3 Days 1 Hours 48 Minutes 4 Seconds!
Languages 🔻 
Some are from goog:e translator.
RedEye Ransomware Home - Encrypted Files - Decrypt Files - Support - Destroy PC
---
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus - AES-256 Bit)
The only way to get your files back is:
- Go to xxxx://redeye85x9tbxiyki.onion/tbxlyki - Enter your Personal ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on "Check Payment". Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up, then your PC will be fully destroyed!
---
Your Personal ID: V820iJXys
Bitcoin Address: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj
Received: 0 BTC [Check Payment]

Перевод записки на русский язык:
Ваш IP: ***
Ваш компьютер будет уничтожен за 3 дня 1 час 48 минут 4 секунды!
Языки 🔻
Некоторые из переводчиков Google.
RedEye Ransomware Home - Зашифрованные файлы - Расшифровка файлов - Поддержка - Уничтожьте ПК
---
Все ваши личные файлы были зашифрованы RedEye с очень сильным ключом!
(Rijndael-Algorithmus - AES-256)
Единственный способ вернуть ваши файлы:
- Перейдите на xxxx://redeye85x9tbxiyki.onion/tbxlyki - введите свой личный идентификатор
и оплатите 0,1 биткоина на адрес ниже! После этого вам нужно нажать "Check Payment". Затем вы получите специальный ключ для разблокировки компьютера.
У вас есть 4 дня, чтобы заплатить, когда время закончится, тогда ваш компьютер будет полностью уничтожен!
---
Ваш персональный ID: V820iJXys
Биткоин-адрес: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj
Получено: 0 BTC [Проверить платеж]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск. 

➤ После запуска RedEye перезаписывает MBR и перезагружает ПК, используя команду: 
C:\Windows\System32\shutdown.exe" -r -t 00 -f

➤ Переписанный MBR содержит ссылку на авторский канал Youtube. 

Содержание текста (красные буквы на чёрном фоне):
RedEye Terminated your computer! 
The reason for that could be:
- The time has expired
- You clicked on the 'Destroy PC' button 
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P
Add Me on discord!
iCoreX#3333 <- Creator of Jigsau, Annabelle & RedEye Ransoriware! My old discord account named 'iCoreX#1337' got terminated by discord.

➤ После перезагрузки устанавливает в качестве обоев свою картинку с замазанной Джокондой. 

➤ Другие деструктивные действия:
- отключает диспетчера задач;
- скрывает логические диски;
- портит файлы вместо шифрования. 

➤ Файл вымогателя имеет большой размер: 35,0 МБ (36657152 байта). Потому что содержит несколько звуковых файлов, встроенных в двоичный файл: child.wav, redeye.wav, suicide.wav
Все они воспроизводят "жуткий" звук, цель которого — напугать пользователя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .png
Это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Новые файлы с расширением .RedEye пустые. Старые удалены. 
Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
windows.exe - исполняемый файл вымогателя
autorun.inf - файл автозапуска на внешних носителях
redeyebmp.bmp - изображение, заменяющее обои
<random>.exe - файл с случайным названием
child.wav - звуковой файл
redeye.wav - звуковой файл
suicide.wav - звуковой файл
桌面\腾讯QQ.lnk - ярлык на загрузку

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\redeyebmp.bmp
C:\windows.exe
C:\autorun.inf
C:\DiskD\windows.exe
C:\DiskD\autorun.inf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://redeye85x9tbxiyki.onion/tbxIyki 
BTC: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj 
Discord: iCoreX#3333 и iCoreX#1337
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>  HA by iCoreX>>
𝚺  VirusTotal анализ >> VT>> VT>> VT>> VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RedEye)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek, Bart
 Michael Gillespie
 ANY.RUN
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

PedCont

PedCont Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English

Этот крипто-вымогатель шифрует (или сообщает, что шифрует) данные пользователей с помощью AES, а затем требует выкуп в $50 или ~ 0.0065 BTC, чтобы вернуть файлы. Оригинальное название: PedCont (видимо сокращение от PedControl). На файле может быть написано, что попало.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: *нет данных*.

Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран блокировки.

 

Содержание записки о выкупе:
PedCont :: COMPUTER HIJACKED! :: Pay ransom with BTC/LTC ***
!!! ATTENTION !!! - Please read this immediately:
Dear potential criminal, 
- Due to you actively seeking out child pornography or similarly illegal content on the Deep Web, you have been infected with our ransomware called PedCont.
- WHAT HAS ALREADY HAPPENED:
All of your sensitive data, location and files - pictures, videos, documents, etc. - have been auto-collected and saved to an external server and will be stored & protected for the next 72 hours (counting from the first time you see this message). If we do not receive any cooperation from your part once the time is up, international authorities WILL be contacted and sent detailed information about everything that we have scraped from your computer. 
While it is no longer necessary for this program to stay on your computer, should you wish to prevent legal prosecution and safely get rid of our records, do NOT manually remove it, but instead follow the steps listed below:
- WHAT WE REQUIRE OF YOU:
We demand that you pay us a ransom worth $50 USD in BTC/LTC within 72 hours of us intercepting your files and identity with this program.
You must use a different computer/phone/internet source to create a wallet and buy Bitcoins or Leetcoins, then forward them to one of our addresses provided below.
Once you complete the transaction, you must paste your BTC/LTC WALLETS ADDRESS into this program and press "Submit". If your transaction has been successful, then our server will recognize your wallet's address and unlock your computer + delete our records of your illegal activities.
- HOW TO PAY WITH BTC/LTC:
1. Using another device, open a web browser and visit one of the following websites:
- GreenAddress BITCOIN Wallet: https://www.greenaddress.it
- BitGo BITCOIN Wallet: https://www.bitgo.com
- Electrum LITECOIN Wallet: https://www.electrum-ltc.org
2. Sign up for a wallet/account and set it up with standard settings. Save your mnemonic/passphrase.
Find your wallet's ID and save it for future reference.
3. Once you have a wallet, open up one of the following currency exchange websites:
- BitStamp: https://www.bitstamp.net
- Kraken: https://www.kraken.com
- LocalBitcoins: https://www.localbitcoins.com
- Cex.io: https://cex.io
These websites provide numerous easy ways to buy Bitcoins or Litecoins online.
Sign up to one of them and after reading how, make an exchange to buy BTC or LTC worth $50 USD - use your wallet's ID to receive it.
Once you have the funds visible in your wallet as either BTC or LTC, you must make the final transaction to one of our wallets listed below:
- IF you are paying with Bitcoins, send your funds to one of these addresses:
3J5iYJJYWduztWbVrEzMxdrSq2yHq3J63s
GAdfWTBkDaX4DBGw6zwgZbgEucs2G
3NNFC86T37qQYr2btGRnaCRM7BxhKQrL4P
***
---
WARNING: DO NOT CLOSE THIS OR TURNOFF YOUR COMPUTER!
---
Logged in: DESKTOP - MMK6PKM
Date: 6/4/2018 - 11:23:37 AM
Your IP address: 103.92.xx.xx
50$ USD = 0.00649990341144 BTC
---
Your wallet's ID [...]
[Submit]
[Uninfect computer and prevent legal action]

Перевод записки на русский язык:
PedCont :: КОМПЬЮТЕР ЗАХВАЧЕН! :: Плати выкуп в BTC / LTC ***
!!! ВНИМАНИЕ !!! - Прочтите это немедленно:
Дорогой потенциальный преступник,
- Из-за вашего активного поиска детской порнографии или подобного незаконного контента в Deep Web, вы были заражены с нашим ransomware под названием PedCont.
- ЧТО УЖЕ СЛУЧИЛОСЬ:
Все ваши конфиденциальные данные, локации и файлы - изображения, видео, документы и т.д. - были автоматически собраны и сохранены на внешнем сервере и будут сохранены и защищены в течение следующих 72 часов (считая с первого раза, когда вы увидите это сообщение). Если мы не получим какое-либо сотрудничество с вашей стороны, как только придет время, международные власти свяжутся с вами и отправят подробную информацию обо всем, что мы выгребли с вашего компьютера.
Хотя для этой программы больше не требуется оставаться на вашем компьютере, если вы хотите предотвратить судебное преследование и безопасно избавиться от наших записей, НЕ удаляйте его вручную, а вместо этого выполните следующие действия:
- ЧТО МЫ ТРЕБУЕМ У ВАС:
Мы требуем, чтобы вы заплатили нам выкуп в размере $ 50 USD в BTC / LTC в течение 72 часов после того, как мы перехватили ваши файлы и личные с помощью этой программы.
Вы должны использовать другой компьютер/телефон/интернет-источник, чтобы создать кошелек и купить биткоины или литкоины, а затем переслать их на один из наших адресов, приведенный ниже.
После завершения транзакции вы должны вставить адрес своего BTC / LTC кошелька в эту программу и нажать "Submit". Если ваша транзакция прошла успешно, наш сервер узнает адрес вашего кошелька и разблокирует ваш компьютер + удалит наши записи о ваших незаконных действиях.
***
---
ПРЕДУПРЕЖДЕНИЕ: НЕ ЗАКРЫВАЙТЕ ЭТО ИЛИ НЕ ВЫКЛЮЧАЙТЕ ВАШ КОМПЬЮТЕР!
---
Вход в систему: DESKTOP - MMK6PKM
Дата: 6/4/2018 - 11:23:37
Ваш IP-адрес: 103.92.xx.xx
50 $ USD = 0.00649990341144 BTC
---
ID вашего кошелька [...]
[Отправить]
[Вылечить компьютер и предотвратить судебный иск]

Технические детали

Замечено распространение с помощью фальшивых видео-файлов, упакованных с помощью возможностей программы WinRar в SFX-файл с опасным расширением. В данном случае замечен такой файл AliceRides.mp4_Unpack.WinRAR_SFX.scr

На сайте-распространителе срабатывает JavaScript. Атака производится с помощью команды:
"C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\aes.js"

Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AliceRides.mp4_Unpack.WinRAR_SFX.scr
aes.js
<random>.exe - случайное название

Расположения:
\Downloads\ ->
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\aes.js

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
RasPbFile

Сетевые подключения и связи:
tigersweb.cf (185.27.134.130 - Великобритания) - считается занятым
greenaddress.it (104.25.241.29 - США)
См. ниже результаты анализов.

👉 Интересное замечание:
- атакующий домен tigersweb.cf считается свободным и предлагается к покупке;
- атакующий адрес tigersweb.cf при открытии определяет IP и указывает выкуп;
- 185.27.134.130 - IP адрес tigersweb.cf относится к Великобритании.

 На скриншотах с разными IP одна и та же сумма выкупа, а на скриншоте в начале статьи - другая сумма. Значит, ещё смотрит на название ПК или ещё что-то. 

👮 IP-локация проверена с помощью сервисов:
https://www.iplocation.net/
https://whatismyipaddress.com/

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 🎥 Video review >>

 Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Leo
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.