PedCont

PedCont Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English

Этот крипто-вымогатель шифрует (или сообщает, что шифрует) данные пользователей с помощью AES, а затем требует выкуп в $50 или ~ 0.0065 BTC, чтобы вернуть файлы. Оригинальное название: PedCont (видимо сокращение от PedControl). На файле может быть написано, что попало.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: *нет данных*.

Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран блокировки.

 

Содержание записки о выкупе:
PedCont :: COMPUTER HIJACKED! :: Pay ransom with BTC/LTC ***
!!! ATTENTION !!! - Please read this immediately:
Dear potential criminal, 
- Due to you actively seeking out child pornography or similarly illegal content on the Deep Web, you have been infected with our ransomware called PedCont.
- WHAT HAS ALREADY HAPPENED:
All of your sensitive data, location and files - pictures, videos, documents, etc. - have been auto-collected and saved to an external server and will be stored & protected for the next 72 hours (counting from the first time you see this message). If we do not receive any cooperation from your part once the time is up, international authorities WILL be contacted and sent detailed information about everything that we have scraped from your computer. 
While it is no longer necessary for this program to stay on your computer, should you wish to prevent legal prosecution and safely get rid of our records, do NOT manually remove it, but instead follow the steps listed below:
- WHAT WE REQUIRE OF YOU:
We demand that you pay us a ransom worth $50 USD in BTC/LTC within 72 hours of us intercepting your files and identity with this program.
You must use a different computer/phone/internet source to create a wallet and buy Bitcoins or Leetcoins, then forward them to one of our addresses provided below.
Once you complete the transaction, you must paste your BTC/LTC WALLETS ADDRESS into this program and press "Submit". If your transaction has been successful, then our server will recognize your wallet's address and unlock your computer + delete our records of your illegal activities.
- HOW TO PAY WITH BTC/LTC:
1. Using another device, open a web browser and visit one of the following websites:
- GreenAddress BITCOIN Wallet: https://www.greenaddress.it
- BitGo BITCOIN Wallet: https://www.bitgo.com
- Electrum LITECOIN Wallet: https://www.electrum-ltc.org
2. Sign up for a wallet/account and set it up with standard settings. Save your mnemonic/passphrase.
Find your wallet's ID and save it for future reference.
3. Once you have a wallet, open up one of the following currency exchange websites:
- BitStamp: https://www.bitstamp.net
- Kraken: https://www.kraken.com
- LocalBitcoins: https://www.localbitcoins.com
- Cex.io: https://cex.io
These websites provide numerous easy ways to buy Bitcoins or Litecoins online.
Sign up to one of them and after reading how, make an exchange to buy BTC or LTC worth $50 USD - use your wallet's ID to receive it.
Once you have the funds visible in your wallet as either BTC or LTC, you must make the final transaction to one of our wallets listed below:
- IF you are paying with Bitcoins, send your funds to one of these addresses:
3J5iYJJYWduztWbVrEzMxdrSq2yHq3J63s
GAdfWTBkDaX4DBGw6zwgZbgEucs2G
3NNFC86T37qQYr2btGRnaCRM7BxhKQrL4P
***
---
WARNING: DO NOT CLOSE THIS OR TURNOFF YOUR COMPUTER!
---
Logged in: DESKTOP - MMK6PKM
Date: 6/4/2018 - 11:23:37 AM
Your IP address: 103.92.xx.xx
50$ USD = 0.00649990341144 BTC
---
Your wallet's ID [...]
[Submit]
[Uninfect computer and prevent legal action]

Перевод записки на русский язык:
PedCont :: КОМПЬЮТЕР ЗАХВАЧЕН! :: Плати выкуп в BTC / LTC ***
!!! ВНИМАНИЕ !!! - Прочтите это немедленно:
Дорогой потенциальный преступник,
- Из-за вашего активного поиска детской порнографии или подобного незаконного контента в Deep Web, вы были заражены с нашим ransomware под названием PedCont.
- ЧТО УЖЕ СЛУЧИЛОСЬ:
Все ваши конфиденциальные данные, локации и файлы - изображения, видео, документы и т.д. - были автоматически собраны и сохранены на внешнем сервере и будут сохранены и защищены в течение следующих 72 часов (считая с первого раза, когда вы увидите это сообщение). Если мы не получим какое-либо сотрудничество с вашей стороны, как только придет время, международные власти свяжутся с вами и отправят подробную информацию обо всем, что мы выгребли с вашего компьютера.
Хотя для этой программы больше не требуется оставаться на вашем компьютере, если вы хотите предотвратить судебное преследование и безопасно избавиться от наших записей, НЕ удаляйте его вручную, а вместо этого выполните следующие действия:
- ЧТО МЫ ТРЕБУЕМ У ВАС:
Мы требуем, чтобы вы заплатили нам выкуп в размере $ 50 USD в BTC / LTC в течение 72 часов после того, как мы перехватили ваши файлы и личные с помощью этой программы.
Вы должны использовать другой компьютер/телефон/интернет-источник, чтобы создать кошелек и купить биткоины или литкоины, а затем переслать их на один из наших адресов, приведенный ниже.
После завершения транзакции вы должны вставить адрес своего BTC / LTC кошелька в эту программу и нажать "Submit". Если ваша транзакция прошла успешно, наш сервер узнает адрес вашего кошелька и разблокирует ваш компьютер + удалит наши записи о ваших незаконных действиях.
***
---
ПРЕДУПРЕЖДЕНИЕ: НЕ ЗАКРЫВАЙТЕ ЭТО ИЛИ НЕ ВЫКЛЮЧАЙТЕ ВАШ КОМПЬЮТЕР!
---
Вход в систему: DESKTOP - MMK6PKM
Дата: 6/4/2018 - 11:23:37
Ваш IP-адрес: 103.92.xx.xx
50 $ USD = 0.00649990341144 BTC
---
ID вашего кошелька [...]
[Отправить]
[Вылечить компьютер и предотвратить судебный иск]

Технические детали

Замечено распространение с помощью фальшивых видео-файлов, упакованных с помощью возможностей программы WinRar в SFX-файл с опасным расширением. В данном случае замечен такой файл AliceRides.mp4_Unpack.WinRAR_SFX.scr

На сайте-распространителе срабатывает JavaScript. Атака производится с помощью команды:
"C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\aes.js"

Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AliceRides.mp4_Unpack.WinRAR_SFX.scr
aes.js
<random>.exe - случайное название

Расположения:
\Downloads\ ->
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\aes.js

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
RasPbFile

Сетевые подключения и связи:
tigersweb.cf (185.27.134.130 - Великобритания) - считается занятым
greenaddress.it (104.25.241.29 - США)
См. ниже результаты анализов.

👉 Интересное замечание:
- атакующий домен tigersweb.cf считается свободным и предлагается к покупке;
- атакующий адрес tigersweb.cf при открытии определяет IP и указывает выкуп;
- 185.27.134.130 - IP адрес tigersweb.cf относится к Великобритании.

 На скриншотах с разными IP одна и та же сумма выкупа, а на скриншоте в начале статьи - другая сумма. Значит, ещё смотрит на название ПК или ещё что-то. 

👮 IP-локация проверена с помощью сервисов:
https://www.iplocation.net/
https://whatismyipaddress.com/

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 🎥 Video review >>

 Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Leo
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-DiskDoctor

Scarab-DiskDoctor Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями по email, чтобы узнать биткоин-адрес, на который нужно заплатить выкуп в # BTC, чтобы получить декодер и вернуть файлы. Оригинальное название: DiskDoctor (по расширению). На файле написано: Local Security Authority Process.exe или что-то другое. См. генеалогию ниже. Написан на Delphi. Зашифрованные до 18 июня 2018 года файлы можно дешифровать!

© Генеалогия / Genealogy: Scarab >> Scarab Family >> Scarab-DiskDoctor-1, Scarab-DiskDoctor-2

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension: 
.DiskDoctor

Названия файлов остаются прежними, не переименовываются. 

Это изображение — логотип статьи. На нём скарабей с диском и стетоскопом.
This image is the logo of the article. It depicts a scarab with disk and stethoscope.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note:  
HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе / Contents of ransom note:

Warning all your files are encrypted !!!                              \ \___   / |
                                                                           /- _  `-/  '
 To receive the decoder, you must send an email to                        (/\/ \ \   /\
 the email address with your personal ID:                                 / /   | `    \
                                                                          O O   ) /    |
           DiskDoctor@protonmail.com                                      `-^--'`<     '
                                                                         (_.)  _  )   /
 In response you will receive further instructions.                       `.___/`    /
                                                                            `-----' /
                  ATTENTION !!!                                <----.     __ / __   \
 * Do not attempt to uninstall the program or run              <----|====O)))==) \) /====
   antivirus software.                                         <----'    `--' `.__,' \
 * Attempts to self-decrypt files will result in the                        |        |
   loss of your data.                                                        \       /
 * Decoders of other users are incompatible with your                   ______( (_  / \______
   data, as each user has a unique encryption key.                    ,'  ,-----'   |        \
                                                                      `--{__________)        \/
                                                               
                                    Your personal identifier:
===========================================================================================
6A02000000000000***95611F
===========================================================================================

Содержание только текста (без рисунка):
Warning all your files are encrypted !!! 
 To receive the decoder, you must send an email to the email address with your personal ID:
DiskDoctor@protonmail.com
 In response you will receive further instructions.
ATTENTION !!!
 * Do not attempt to uninstall the program or run antivirus software.
 * Attempts to self-decrypt files will result in the loss of your data. 
 * Decoders of other users are incompatible with your data, as each user has a unique encryption key.
Your personal identifier:
6A02000000000000***95611F

Перевод записки на русский язык:
Предупреждение, что все ваши файлы зашифрованы !!!
  Чтобы получить декодер, вы должны отправить email на email-адрес с личным идентификатором:
DiskDoctor@protonmail.com
  В ответ вы получите дальнейшие инструкции.
ВНИМАНИЕ !!!
  * Не пытайтесь удалить программу или запустить антивирусную программу.
  * Попытки самостоятельно дешифровать файлы приведут к потере ваших данных.
  * Декодеры других пользователей несовместимы с вашими данными, так как каждый пользователь имеет уникальный ключ шифрования.
Ваш личный идентификатор:
6A02000000000000 *** 95611F

Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, вредоносной рекламы, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск с правами администратора. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP 
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
 cmd.exe /c wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE
 cmd.exe /c vssadmin Delete Shadows /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
 cmd.exe /c bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

➤ ID содержит от 642 до 652 знаков. 

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство типов файлов. Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
В результатах анализа я смог разглядеть только следующие типы файлов:
.aapp, .bat, .bin, .cab, .CAT, .cer, .CHS, .CHT, .css, .CZE, .DAN, .DEU, .dll, .doc, .docx, .ESP, .EUQ, .exe, .fdb, .FRA, .gif, .HRV, .htm, .html, .HUN, .ini, .ITA, .jpg, .JPN, .js, .KOR, .kt1, .NLD, .NOR, .pak, .pdf, .png, .POL, .pst, .PTB, .RUM, .RUS, .SKY, .SLV, .SYO, .sys, .SVE, .tmp, .TUR, .txt, .UKR, .wmv, .zip и другие. 

Целевые директории (файлы в папках):
Windows
intel, nvidia
System Volume Information
All Users, AppData, Application Data
Program Files, Program Files (x86)
$RECYCLE.BIN

Целями также являются следующие элементы: 
XXXX, ANUBIS, WANNACRY, DELPHIN, GAGRA, FANNY

Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO RECOVER ENCRYPTED FILES.TXT
LocalSecurityAuthorityProcess.bak.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\Local Security Authority Process.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: DiskDoctor@protonmail.com
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== Дешифровщик ===

Так выглядит оригинальный дешифровщик

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 июня 2018:
Обновленная версия шифровальщика. 
Статус: файлы не дешифруются старым способом.
Но: Файлы можно дешифровать, если процесс шифрования был прерван.  
Расширение: .DiskDoctor
Email: DiskDoctor@protonmail.com
Записка: Проблема.txt

Скриншот записки аналогичен первого варианту. 

Обновление от 20 июня 2018:
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор. 
В первых версиях Scarab-DiskDoctor был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать. 
В последующих версиях файл шифровальщика детектируется уже как  Trojan.Encoder.25574 (по классификации Dr.Web). Файлы пока не дешифруются. 


Обновление от 10 сентября 2018:
Пост в Твиттере >> 
Статус: Файлы можно дешифровать, если процесс шифрования был прерван.  
Расширение: .mammon
Файлы не переименовываются. 
Записки: HOW TO RECOVER ENCRYPTED FILES.TXT
HOW TO RECOVER ENCRYPTED FILES1.TXT
HOW TO RECOVER ENCRYPTED FILES2.TXT
Email: mammon-decrypt@protonmail.com

Обновление от 13 октября 2018:
Расширение: .DD
Записка: HOW TO RETURN FILES.TXT
Email: decoder-help@protonmail.com

➤ Содержание записки: 
Warning all your files are encrypted !!!
To receive the decoder, you must send an email to
the email address with your personal ID:
decoder-help@protonmail.com
 In response you will receive further instructions.
ATTENTION !!!
 * Do not attempt to uninstall the program or run
   antivirus software. 
 * Attempts to self-decrypt files will result in the
   loss of your data. 
 * Decoders of other users are incompatible with your
   data, as each user has a unique encryption key. 
Your personal identifier:
================================================
6902000000000000***B3FD00
================================================

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 * 

 Видеообзор работы Scarab-DiskDoctor

 Thanks: 
 victims of extortion
 Andrew Ivanov, Emmanuel_ADC-Soft
 Ben Hunter
 ANY.RUN
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryBrazil

CryBrazil Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryBrazil. На файле написано: NaoLeia.exe.

© Генеалогия: HiddenTear + EDA2 >> CryBrazil

К зашифрованным файлам добавляется расширение .crybrazil или .hacked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на португалоязычных и бразильских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа является следующее изображение ranso4.jpg, встающее обоями Рабочего стола. 

Содержание текста с картинки:
Ele que é o palhaço, mas sou eu quem põe fogo no circo.
ATENÇÃO CRIANÇAS!
Todos os seus arquivos foram criptografados, para recuperá-los de volta entre em contato: LOSALPHAGROUP@PROTONMAIL.COM

Перевод текста на русский язык:
Он клоун, но это я поджег цирк.
ВНИМАНИЕ ДЕТИ!
Все ваши файлы зашифрованы, чтобы получить их обратно, свяжитесь с нами: LOSALPHAGROUP@PROTONMAIL.COM

Есть еще файл, который называется: SUA_CHAVE.html (на португальском это "ВАШ КЛЮЧ"), но он только содержит ссылку:
xxxx://3e24c23r2213122c1cxdsxsd.unaux.com

Если самому открыть эту ссылку в браузере, то вместо сайта вымогателей с требованиями выкупа или неким ключом, откроется перенаправление на случайные сайты с ротатором рекламы. Это потому, что этот сайт теперь отключен. Возможно, это так хостинг profreehost.com пытается зарабатывать деньги на заброшенных или отключенных сайтах. Надо учитывать, что содержимое этих сайтов может быть опасным. 

Мы проверили сайт через сервис Easycounter.com и получили результат:
Unaux.com получал 38,3% своего трафика из Индии

При переходе на этот сайт, получили это предупреждение о подозрительном сайте. 
Мы также проверили сервис с другими сайтами. Оказалось, что только при переходе на unaux.com было выдано такое предупреждение. Другие проверенные сайты открывались без предупреждения. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NaoLeia.exe
ranso4.jpg
SUA_CHAVE.html
SUA_CHAVE.html.hacked
local.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Rand123\\local.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: LOSALPHAGROUP@PROTONMAIL.COM
xxxx://3e24c23r2213122c1cxdsxsd.unaux.com
xxxx://unaux.com
xxxxs://www.easycounter.com/report/unaux.com - информация о unaux.com
xxxx://4.bp.blogspot.com/-11m8rWaFmWs/WuhochGTK0I/AAAAAAAAFTY/VkbbVhxYZDgW_jlbQ5lPbV8AEhyd4ihgQCK4BGAYYCw/s1600/ranso4.jpg - изображение, загруженное через сервис загрузки изображений в blogspot.com от Google. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

💫💫💫

Примечание 1.
Это может не относиться к самому вымогательству, но исследователи обнаружили в свойствах оригинального изображения ranso4.jpg некий текст на французском языке. 
Le président français Emmanuel Macron, son homologue russe Vladimir Poutine et la chancelière allemande Angela Merkel ont souligné samedi l'importance du respect du cessez-le-feu dans l'est de l'Ukraine. /Photo prise le 8 juillet 2017/REUTERS/Tobias SCHWARZ

Я нашёл оригинальный веб-материал, где использовался этот текст в подписи к изображению. Вот эта ссылка >>

Страница действующая. Скриншот с главами Франции, России и Германии с этой страницы. 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.