Если вы не видите здесь изображений, то используйте VPN.

четверг, 10 января 2019 г.

Crypt0r

Crypt0r Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptorCppWinCrypt и Cryptor/1.0. На файле написано: нет данных.

© Генеалогия: GusCrypter >> Crypt0r
Родство доказано сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется случайное расширение: .<ID_random8> или <ID_random>

Примеры расширений (дублируются в записке как ID): 
.2lwnPp2B
.F9WrfQ4t
.VNE3fKaJ


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую-вторую января 2019 г. Штамп времени первого образца: 30 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP.txt

Содержание записки о выкупе:
All your files and documents are encrypted by Crypt0r.
We provide a decryption service. If you need our help, contact our customer service via mail:
decrypt0r-help@protonmail.com
All we need is your personal service ID: ********

Перевод записки на русский язык:
Все ваши файлы и документы зашифрованы Crypt0r.
Мы поставляем услугу расшифровки. Если вам нужна наша помощь, пишите нашей службе поддержки по почте:
decrypt0r-help@protonmail.com
Все, что нам нужно, это ваш личный ID услуги: ********



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов с помощью команды:
shadowcopy delete /nointeractive

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP.txt
CryptorCppWinCrypt.pdb
svchost.jpg.exe
notepad.vbs
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\svchost.jpg.exe
\Temp\notepad.vbs
%USERPROFILE%\source\repos\weaponx\src\CryptorCpp\Release\CryptorCppWinCrypt.pdb

Мьютекс:
crypt0r-mutex

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decrypt0r-help@protonmail.com
BTC: ***
Urls: e3kok4ekzalzapsf.onion.ws (198.251.89.94 США)
bjrhuitfka5zziru.onion.to
pghbmv4y4pa5wrjk.onion.to
bjrhuitfka5zziru.onion.ws
jjtwnpknrz5iagr5.onion.to
7nsnawett5mncyyw.onion.ws
pghbmv4y4pa5wrjk.onion.ws
7nsnawett5mncyyw.onion.to
jjtwnpknrz5iagr5.onion.ws
fj4vewejfwf37lyg.onion.ws
fj4vewejfwf37lyg.onion.to
w2qkygpdvsyicpgl.onion.to
w2qkygpdvsyicpgl.onion.ws
e3kok4ekzalzapsf.onion.ws
e3kok4ekzalzapsf.onion.to
rnj3pa7pic2v37x7.onion.to
jjzhjfujbamo6aro.onion.to
jjzhjfujbamo6aro.onion.ws
rnj3pa7pic2v37x7.onion.ws
2affeyx2i6lcqce4.onion.ws
oftbwoomp4uerxpi.onion.to
oftbwoomp4uerxpi.onion.ws
2affeyx2i6lcqce4.onion.to
 

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19-26 января 2019:
Пост в Твиттере >>
Email: decrypt0r-help@protonmail.com
URLs: 
➤ Содержание записки:
All your files, documents, photos, databases and other important files are encrypted and haue the extension: ***
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
You can get there by contacting us.
decrypt0r-help@protonmail.com
You will get instructions on payment and get the opportunity to decrypt 1 file < 1MB for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE : 
DO NO MODIFY ENCRYPTED FILES





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Crypt0r)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 9 января 2019 г.

Ahihi

Ahihi Ransomware

BangLuongThang02 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название неизвестно, но в коде написано AHIHI. На файле написано: BangLuongThang02.

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Trojan.GenericKD.31477924

© Генеалогия: ✂ HiddenTear + trash

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образей этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Your files have been encrypted. If you want to get your files back, please visit http://ripyon.me/decrypt and provide us the following information
Your computer name: ***
Your username: ***
Your token: ***
CAUTION: DO NOT run this app again or your files will be encrypted permanently

Перевод записки на русский язык:
Ваши файлы зашифрованы. Если вы хотите вернуть свои файлы, пожалуйста, посетите http://ripyon.me/decrypt и предоставьте нам следующую информацию
Имя вашего компьютера: ***
Ваш логин: ***
Ваш токен: ***
ВНИМАНИЕ: НЕ запускайте это приложение снова, иначе ваши файлы будут зашифрованы навсегда



Если шифровальщик не может подключиться к своему C2 после завершения шифрования, то жертве сообщается: Your files have been encrypted. Unfortunately, you cannot get your files back. We are sorry

Перевод на русский язык:
Ваши файлы были зашифрованы. Жаль, вы не можете вернуть свои файлы. Мы сожалеем



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
BangLuongThang02.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\README.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryTekk

CryTekk Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $40 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Представляет собой гибрид вымогателя с фишингом. 

© Генеалогия: ✂ HiddenTear + trash

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Записка с требованием выкупа называется: README.html

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED!
Dear victim:
Files have been encrypted! and Your computer has been limited!
To unlock your PC you must pay with one of the payment methods provided, we regularly check your activity of your screen and to see if you have paid. Paypal automatically sends us a notification once you've paid. But if it dosen't unlock your PC upon payment contact us
(CryTekk@protonmail.com)
Reference Number: CT-*******
When you pay via BTC, send us an email following your REF Number if your PC dosen' unencrypt. Once you pay, Your PC will be decrypted.
However if you don't within 14 days we will continue to infect your PC and extract all your data and use it
Google 'how to buy/pay with bitcoin' if you don't know how. To pay by
bitcoin: send $40 to your unique bitcoin address b>
34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАПИСАНЫ!
Дорогой пострадавший:
Файлы зашифрованы! и Ваш компьютер ограничен!
Чтобы разблокировать компьютер, вы должны заплатить за него одним из представленных способов оплаты. Мы регулярно проверяем вашу активность на экране и проверяем, платили ли вы. Paypal автоматически отправляет нам уведомление, как только вы заплатите. Но если он не разблокирует ваш компьютер при оплате, свяжитесь с нами
(CryTekk@protonmail.com)
Reference номер: CT-*******
Когда вы сделаете оплату через BTC, отправьте нам email после REF-номера, если ваш компьютер не был расшифрован. Как только вы заплатите, Ваш компьютер будет расшифрован.
Но, если вы этого не сделаете в течение 14 дней, мы продолжим заражать ваш компьютер, извлекать все ваши данные и использовать их.
Гуглите "как купить / оплатить с помощью биткоинов", если вы не знаете, как. Платити биткоинами: отправьте $40 на ваш уникальный биткоин-адрес
34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb



Примечание с требованием выкупа направляет жертв на фишинговую страницу PayPal. Нажав на кнопку "Buy Now", он уже перенаправляет на фишинговую часть с кредитной картой (поэтому вход в систему пропускается). После заполнения и нажатия кнопки "Agree" появляются поля для заполнения личной информации держателя карты. После заполнения страницы с персональными данными пользователю сообщается об успехе. Но затем окно закрывается, т.к. злоумышленники получили всю необходимую им информацию для снятия денег со счета жертвы.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CryTekk@protonmail.com
herschelgomez@xyzzyu.com
BTC: 34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb
URL: http://ppyc-ve0rf.890m.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 6 января 2019 г.

SantaCrypt

SantaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SantaCrypt (указано в записке). На файле написано: 42F0.TMP.EXE. Написан на языке AutoIt.

Обнаружения:
DrWeb -> Trojan.Encoder.32790
BitDefender -> Trojan.GenericKD.31498667
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.juiaz
ESET-NOD32 -> Win32/Filecoder.Autoit.Y
Kaspersky -> Trojan-Ransom.Win32.Encoder.bez
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Skeeyah.A!bit
Rising -> 
Ransom.Encoder!8.FFD4 (KTSE)
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_Encoder.R002C0DIM20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: другие Autoit Ransomware >> SantaCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .$ANTA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Образец этого крипто-вымогателя относится к началу января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: HOW_TO_RECOVER_MY_FILES.TXT




Содержание записки о выкупе:
!!!SANTA_CRYPT RANSOMWARE!!!
Hello. All your files are encrypted. To decrypt your files - you must pay us.
Amount to pay depends on how fast you will email us."
Our email : mail@mail.ru
Good luck!

Перевод записки на русский язык:
Привет. Все ваши файлы зашифрованы. Для расшифровки файлов вы должны заплатить нам.
Сумма оплаты зависит от того, как быстро вы напишите нам.
Наш email: mail@mail.ru
Удачи!




Технические детали

Выглядит как конструктор, который можно настраивать. После доработки и модификации м
ожет начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск файла. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_MY_FILES.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
42F0.TMP.EXE.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://api.telegram.org/bot786047086:AAHptlQeKzm_r6t0IxBwnxtJ5F_MKB6BjXc/sendMessage
Email: mail@mail.ru
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SantaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, xXToffeeXx
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 4 января 2019 г.

Indrik

Indrik Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, что узнать как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .INDRIK


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # HOW TO DECRYPT YOUR FILES #.html

Содержание записки о выкупе:
Dead Line 
269 Days 
10 Hours 
21 Minutes 
47 Seconds

UNIQUE IDENTIFICATOR 
[redacted x10F bytes in base64]

What Happened to My Files? 
All your files have been encrypted using military grade encryption algorithm. 
 Any attempt to decrypt or recovery your files else than use will cause permanent damage to your files. This means you will lose them forever. 
 The only way you can decrypt your files is purchase your unique decryption tool from us. 
 "YOU HAVE ONLY 7 DAYS FOR PURCHASE YOUR DCRYPTION TOOL BEFORE DESTROY ALL YOUR FILES"  
 It is not advised to use third party tools to decrypt, If we find them you, will forever lose your files. 
What is Dead Line? 
It's the last time that you have the opportunity to communicate with us. 
 "AFTER THE COUNTDOWN FINISHED, THE LIFETIME OF YOUR FILES WILL GO DOWN TO ETERNAL DEATH"  
How Can Restore My Files? 
For restore your files and return to the normal state, you must send your request to both the address indrik@tuta.io and indrik@airmail.cc with the same subject. 
 "Note that add the 'UNIQUE IDENTIFICATOR' in the text of email or attach '# HOW TO DECRYPT YOUR FILES #.html' file to the email"  
 Also, in order to further trust us, we are ready to decrypt a single of your file less than 5 megabytes of size for free. 
How To Buy Bitcoin‌? 
Top exchange sites: 
LocalBitcoins (available in 248 countries) 
Coinbase (available in 42 countries) 
 "We suggest that you use LocalBitcoins to buy and transfer Bitcoin"  
Online wallet: 
Blockchain.com 
More guide: 
howtobuybitcoin 

Перевод записки на русский язык:
Крайний срок
269 дней
10 часов
21 минут
47 секунд

УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР
[содержит x10F байтов в base64]

Что случилось с моими файлами?
Все ваши файлы зашифрованы с использованием алгоритма шифрования военного уровня.
 Любая попытка расшифровать или восстановить ваши файлы, кроме использования, приведет к необратимому повреждению ваших файлов. Это значит, что вы потеряете их навсегда.
 Единственный способ расшифровать свои файлы - это приобрести у нас уникальный инструмент для расшифровки.
 "У вас есть всего 7 дней для покупки вашего инструмента ДЕШИФРОВАНИЯ, прежде чем уничтожатся все ваши файлы"
 Не рекомендуется использовать сторонние инструменты для расшифровки. Если мы их найдем, вы навсегда потеряете ваши файлы.
Что такое Dead Line?
Это крайний срок, когда у вас есть возможность общаться с нами.
 "ПОСЛЕ ЗАВЕРШЕНИЯ СЧЕТА, СРОК ДЕЙСТВИЯ ВАШИХ ФАЙЛОВ ЗАКОНЧИТСЯ"
Как восстановить мои файлы?
Чтобы восстановить ваши файлы и вернуться в нормальное состояние, вы должны отправить запрос по адресу indrik@tuta.io и indrik@airmail.cc с одинаковой темой.
 «Обратите внимание, что нужно добавить «УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР» в текст email или прикрепите к письму файл '# HOW TO DECRYPT YOUR FILES #.html'
 Кроме того, чтобы еще больше нам доверять, мы готовы бесплатно дешифровать один файл размером менее 5 мегабайт.
Как купить биткоины?
Лучшие сайты обмена:
Местные биткоины (доступны в 248 странах)
Coinbase (доступно в 42 странах)
 "Мы предлагаем вам использовать LocalBitcoins для покупки и перевода биткоинов"
Интернет-кошелек:
Blockchain.com
Еще руководство:
howtobuybitcoin



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# HOW TO DECRYPT YOUR FILES #.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
indrik@tuta.io
indrik@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *