Если вы не видите здесь изображений, то используйте VPN.

суббота, 3 ноября 2018 г.

M@r1a

M@r1a Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), ключ шифрует с помощью RSA-2048, а затем требует выкуп в $50 или 0.002 BTC, чтобы вернуть файлы. Оригинальное название: M@r1a. На файле написано: ransom.exe и SF.exe

© Генеалогия: Общий крипто-строитель SF Ransomware >> SpartacusSatyrBlackRouter, BlackHeartM@r1a

К зашифрованным файлам добавляется расширение: .mariacbc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-M@r1a.txt

Содержание записки о выкупе:
Personal Key
[On5niFpsfas ***]
*****

Перевод записки на русский язык:
Персональный ключ
[On5niFpsfas ***]
*****

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста на экране:
Personal Key
[On5niFpsfas ***]
Warning: Please Don't Restart or Shutdown Your PC ,
If do it Your Pesonal Files Permanently Crypted.
For Decrypt Your Personal Just Pay 50$ or 0.002 BTC . After Pay You Can send personal key to
Telegram: @MAF420 or Email: farhani.ma98@gmail.com
BTC Transfer Address: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso

Перевод текста на русский язык:
Персональный ключ
[On5niFpsfas ***]
Предупреждение: не перезагружайте и не выключайте ваш ПК,
Если это, то ваши личные файлы навсегда будут зашифрованы.
Для расшифровки вашей личной просто заплатите 50$ или 0.002 BTC. После оплаты вы можете отправить персональный ключ на 
Telegram: @MAF420 или email: farhani.ma98@gmail.com
BTC-адрес передачи: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов командой:
cmd.exe /c vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadME-M@r1a.txt
ransom.exe (SF.exe)
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @MAF420
Email: farhani.ma98@gmail.com
BTC: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackHeart Ransomware - 21 апреля 2018
M@r1a Ransomware - 3 ноября 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Spartacus)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FileFuck

FileFuck Ransomware

(фейк-шифровальщик, стиратель, деструктор)
Translation into English


Этот крипто-вымогатель перезаписывает файлы на рабочем столе фразой "All your files were fucked forever by FileFuck! You can not stop us, you idiot :)"

Не предлагает никаких действий, чтобы вернуть файлы. Оригинальное название: FileFuck. На файле написано: FileFuck.exe

© Генеалогия: HiddenTear >> FileFuck

Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных и разноязычных пользователей, что не мешает распространять его по всему миру.

Записка от злоумышленников называется: @READ_IT@.txt

Записка от злоумышленников выступает также экран блокировки. 

Содержание текста:
FileFuck warning
All your files were fucked forever by FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
you not have to look at the
monitor so seriously,
my friend. XD

Перевод на русский язык:
Предупреждение FileFuck
Все ваши файлы трахались навсегда FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
вам не нужно смотреть на монитор так серьезно,
мой друг. XD



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Уплата выкупа, даже если 
в новых версиях появятся условия выкупа, бесполезна! 

Список файловых расширений, подвергающихся перезаписи и повреждению:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileFuck.exe
@READ_IT@.txt
ipaWaVDQGX.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\@READ_IT@.txt
\Desktop\ipaWaVDQGX.exe
\Desktop\BQJUWOYRTO.jpg
\Desktop\BUFZSQPCOH.mp3
\Desktop\DQOFHVHTMG.png
\Desktop\HQJBRDYKDE.docx
\Desktop\HQJBRDYKDE.xlsx

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 2 ноября 2018 г.

MCrypt2018

MCrypt2018 Ransomware 

CRP.Net3 Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные на дисках пользователей с помощью утилиты DiskCryptor, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: CRPDOTNET3 или что попало.

© Генеалогия: предшественники HDDCryptor, Bad Rabbit, MBR-ONI >> MCrypt2018

К зашифрованным файлам добавляется расширение: нет данных, т.к. шифрует весь диск, используя утилиту DiskCryptor.

Внимание! Новые данные, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа выводится перед жертвой на чёрном экране после перезагрузки ПК. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. 

Содержание записки о выкупе:
You have been Hacked, ALL Data Encrypted,Contact For Key
Our Email : mcrypt2018@yandex.com
YourID: [executable name]
Your Hostname: [computer name]
Enter Key :

Перевод записки на русский язык:
Вы взломаны, все данные зашифрованы, контакт для ключа
Наш email: mcrypt2018@yandex.com
Ваш ID: [имя исполняемого файла]
Ваш хост: [имя компьютера]
Введите ключ :



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует легитимную утилиту DiskCryptor для осуществления шифрования. Для выполнения вредоносного файла нужен ручной запуск файла, или он вызывается на выполнение скриптом, который попадает на ПК жертвы обманным путем. В таком случае вредоносу нужно передать аргумент, который используется как пароль для DiskCryptor. Также возможен взлом службы удаленных рабочих столов и ручной запуск MCrypt2018 Ransomware на установку. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dcrypt.exe
dcrypt.sys
myLog.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\myLog.txt

Файлы, связанные с этим Ransomware:
%SystemDrive%/Public/dcapi.dll
%SystemDrive%/Public/dccon.exe
%SystemDrive%/Public/dcinst.exe
%SystemDrive%/Public/dcrypt.exe
%SystemDrive%/Public/dcrypt.sys
%SystemDrive%/Public/mount.exe
%SystemDrive%/Public/netpass.exe
%SystemDrive%/Public/netpass.txt
%SystemDrive%/Public/log_file.txt
%SystemDrive%/Public/netuse.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum

Сетевые подключения и связи:
mcrypt2018@yandex.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as MCrypt2018)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 1 ноября 2018 г.

SymmyWare

SymmyWare Ransomware

SymmiWare Ransomware

(шифровальщик-НЕ-вымогатель, деструктор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем даже не требует выкуп (в записке написано 0 биткоин), чтобы вернуть файлы. Оригинальное название: SymmyWare. На файле написано: что попало (случайное название). Название разработчика: TODO.

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.32725
BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.43938747
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of Win32/Packed.Obsidium.AS
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:Win32/HiddenTear.gen
Symantec -> Downloader, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto, 
TrendMicro -> Ransom_HiddenTear.R002C0DIU20, Ransom.MSIL.SYMMYWARE.AA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnicSymmyWare > 
SymmyWare NextGen

К зашифрованным файлам добавляется расширение: .SYMMYWARE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Выпуск этого шифровальщика пришёлся на 1 ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, если это произойдет.

Записка с требованием выкупа называется: SIMMYWARE.TXT
SymmyWare Ransomware

Содержание записки о выкупе:
*-------=SymmiWare=-------*
All your files was ciphered by Strong algorythm AES-128.
Take your time, no one will be able to decrypt your files without our decryption service.
To decrypt files, pay $ 0 in Bitcoins. If you do not have 0 bitcoins (everyone has it) then go to the site localbitcoins.com and there send to our wallet (which we do not have) and write to the mail simmyware@protonmail.ch to get the key and the decoder.
We advise you not to mess around because you still do not restore their hands.
We've also encrypted all your drives, files on your hard drives and network drives.
AES-128 is the Most reliable military-grade cryptographic algorithm.
There's no way to hack it, not even with a supercomputer.
The file cutter will start in 48 hours.
Don't be stupid and ugly like Patrick.
Any hacking attempts can fuck all of your data and the locker will turn them into pee-pee.
Good luck. Goodbye.
P.S I'm not spreading, and I can't.
P.P.S. The best time to send a letter: after November 25 (while we register the mail), and the fact that we wrote about 48 hours - it was a joke. We do not count down the time until the system is removed.
*-------=SymmiWare=-------*

Перевод записки на русский язык:
* ------- = SymmiWare = ------- *
Все ваши файлы были зашифрованы сильным алгоритмом AES-128.
Не спешите, никто не сможет расшифровать ваши файлы без нашей службы расшифровки.
Чтобы расшифровать файлы, заплатите $ 0 в биткойнах. Если у вас нет 0 биткоинов (у каждого есть), перейдите на сайт localbitcoins.com и отправьте на наш кошелек (которого у нас нет) и напишите на адрес simmyware@protonmail.ch, чтобы получить ключ и декодер.
Мы советуем вам не возиться, т.к. вы все равно не восстановите своими руками.
Мы также зашифровали все ваши диски, файлы на жестких дисках и сетевых дисках.
AES-128 - самый надежный криптографический алгоритм военного класса.
Невозможно взломать его, даже с помощью суперкомпьютера.
Резак файлов включится через 48 часов.
Не будь глупым и вздорным, как Патрик.
Любые попытки взлома могут трахнуть все ваши данные и локер превратит их в пи-пи.
Удачи. Прощай.
P.S Я не распространяю, и я не могу.
P.P.S. Лучшее время для отправки письма: после 25 ноября (пока мы регистрируем почту), и тот факт, что мы писали около 48 часов - это была шутка. Мы не отсчитываем время, когда система не будет удалена.


---
*| Перевод на русский опубликован, как есть, без исправления ошибок и лексики. 



Технические детали

По сообщениям разработчика: никогда не распространялся через RDP, но в этой версии замечено использование утилиты PsExec. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифрует данные, используя следующий порядок действий:
- генерирует пароль
- ищет диски и другие хранители информации
- проброс
- шифрует их с помощью AES-128 (Размер блока 128), дополнительно оставляет сообщение
- проброс
- если есть интернет - он посылает запрос на сайт (И так будет в цикле пока пользователь не включит интернет (если же он выключен))
- стирает пароль
- запускает видео с Youtube
- закрывается

➤ Пытается использовать утилиту PsExec.exe для выполнения команд на удалённых ПК. По данным исследователей, PsExec использовался без админ-прав, то ли из-за ошибки, то ли на пробу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы, базы данных 1С, видео, фото, картинки, сертификаты и прочие файлы. 

Файлы, связанные с этим Ransomware:
SIMMYWARE.TXT
hyBrDFjOidLuty.exe
jisMlDfmBgdeF.exe
watadminsvc.exe
<random>.exe - случайное название
hyBrDFjOidLuty.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\65F3.tmp\6604.bat C:\jisMlDfmBgdeF.exe  - пример
D:\delphi\hyBrDFjOidLuty\hyBrDFjOidLuty\hyBrDFjOidLuty\obj\x86\Release\hyBrDFjOidLuty.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-host: fairybreathes.6te.net
Email: simmyware@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>  VT на PsExec >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>  AR>>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 сентября 2020:
Расширение: .SYMMYWARE
Записка: SYMMYWARE.TXT
Добавляется в Автозагрузку Windows: C:\Users\Admin\AppData\Roaming\Microsoft\Word\STARTUP\SYMMYWARE.TXT
Email: simmyware@protonmail.ch
URL: fairybreathes.6te.net
Файлы: 
ky.exe
%TEMP%\PsExec.exe
%TEMP%\hyBrDFjOidLuty.exe
Результаты анализов: TG + VT + IA + AR + VMR + JSB
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32725
BitDefender -> Trojan.GenericKD.43938747
ESET-NOD32 -> A Variant Of Win32/Packed.Obsidium.AS
Malwarebytes -> Ransom.HiddenTear
McAfee -> Generic-FAWW!80143152971E
Rising -> Trojan.Generic@ML.94 (RDML:qiz***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_HiddenTear.R002C0DIU20





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>
 Thanks: 
 gnation
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Desktop, Ourmine

Desktop Ransomware

Ourmine Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Desktop Ransomware. На файле написано: Desktop Ransomware.exe. Написан на Autohit v.3. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется приставка: Lock.

Примеры зашифрованных файлов:
Lock.Ihhj7L6.docx
Lock.JfK4PzqcH7ER.csv
Lock.FsWV1eA3OkafmtB.xlsx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Welcome in Desktop Ransomware
Oooooops All your files on the desktop are encrypted To decrypt files enter PIN
see you soon
Enter PIN LHNIWSJ <- (PC name)
PIN - [       ]
[Decryption]
[Get PIN]

Перевод записки на русский язык:
Добро пожаловать в Desktop Ransomware
Ууупс Все ваши файлы на рабочем столе зашифрованы. Для дешифрования файлов введите PIN-код
до скорой встречи
Введите PIN LHNIWSJ <- (имя ПК)
PIN - [       ]
[Decryption]
[Get PIN]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



 Нажатие на кнопку "Get PIN" окрывает страницу в Facebook xxxxs://www.facebook.com/profile.php?id=100027091457754
Уже недоступна. 

➤ Код разблокировки: 00114455220033669988554477++//

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Desktop Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.facebook.com/profile.php?id=100027091457754
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13-14 мая 2019:
Пост в Твиттере >>
Самоназвание: OURMINE
Вместо расширения используется приставка Lock.
Написан на Autohit v.3. 
Email: waoeha@gmail.com
Надпись на изображении, встающем обоями Рабочего стола:
YOUR FILES ARE ALL GONE
[!] HACKED BY OURMINE [!]
EMAIL US 
WAOEHA@GMAIL.COM
YOUR SERCURITY IS LOW — 
TO GET YOUR FILES BACK
Файл EXE: Academics.pdf.exe
Результаты анализов: VT + VMR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as *** )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 Cyber Security Gruja
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *