Gorgon

Gorgon Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Gorgon. На файле написано: Gorgon.exe

© Генеалогия: FilesL0cker >> Gorgon

К зашифрованным файлам добавляется расширение: .[buy-decryptor@pm.me]


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Штамп времени: 25 января 2019. Ориентирован на англоязычных, китайских и корейских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
#DECRYPT MY FILES#.HTML
#解密我的文件#.HTML
#내 파일 복구하기#.HTML

Содержание записки о выкупе:
GORGON RANSOMWARE
What happened?
All your important files(database,documents,images,videos,music,etc.)have been encrypted!and only we can decrypt!
To decrypt your files,you need to buy Gorgon Decryptor from us,we are the only one who can decrypt the file for you
Attention!
Trying to reinstall the system and decrypting the file with a third-party tool will result in file corruption,which means no one can decrypt your file(including us)!
If you still try to decrypt the file yourself,you do so at your own risk!
Test decryption!
As a proof,you can email us 3 files to decrypt,and we will send you the decrypted files to prove that we can decrypt your files
How to buy Gorgon Decryptor?
1.Buy 0.3 Bitcoin at https://localbitcoins.com
2.Contact us by email to get a payment address
3.Send 0.3 Bitcoin to our payment address
4.After payment,we will send you Gorgon Decryptor
Email:
buy-decryptor@pm.me
Your ID: *** <base64>

Перевод записки на русский язык:
GORGON RANSOMWARE
Что случилось?
Все ваши важные файлы (база данных, документы, изображения, видео, музыка и т.д.) были зашифрованы! И только мы можем расшифровать!
Чтобы расшифровать ваши файлы, вам нужно купить Gorgon Decryptor у нас, мы единственные, кто может расшифровать файл для вас
Внимание!
Попытка переустановить систему и расшифровать файл сторонним инструментом приведет к повреждению файла, что означает, что никто не сможет расшифровать ваш файл (включая нас)!
Если вы все еще пытаетесь расшифровать файл самостоятельно, вы делаете это на свой страх и риск!
Тестовая расшифровка!
В качестве доказательства вы можете отправить нам 3 файла для расшифровки, и мы вышлем вам расшифрованные файлы, чтобы доказать, что мы можем расшифровать ваши файлы.
Как купить Gorgon Decryptor?
1. Купить 0.3 биткоина на https://localbitcoins.com
2. Связь с нами по email, чтобы получить платежный адрес
3. Отправить 0.3 биткоина на наш платежный адрес
4. После оплаты мы вышлем вам Gorgon Decryptor
Email:
buy-decryptor@pm.me
Ваш ID: *** <base64>

Другими информаторы пострадавших выступает экран блокировки, экран загрузки Windows и изображение WALLPAPER.BMP, заменяющее обои Рабочего стола. Также используется Microsoft Speech. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов командой:
vssadmin.exe delete shadows /all /quiet

➤ Шифрование реально присутствует. Картинка в подтверждение. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.HTML
#解密我的文件#.HTML
#내 파일 복구하기#.HTML
WALLPAPER.BMP
Gorgon.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
DNS: xxxxs://i.loli.net/
Email: buy-decryptor@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 марта 2019:
Пост в Твиттере >>
Расширение: .[china-decryptor@pm.me]
Записки о выкупе:
#DECRYPT MY FILES#.HTML
#解密我的文件#.HTML
#내 파일 복구하기#.HTML
#РАСШИФРУЙТЕ МОИ ФАЙЛЫ#.HTML
Email: china-decryptor@pm.me
Штамп времени: 20 февраля 2019
➤ Скриншоты записки, экрана блокировки, изображения, заменяющего обои:

Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Gorgon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek, Michael Gillespie
 Andrew Ivanov (author)
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Spiteful Doubletake

Spiteful Doubletake Ransomware

(шифровальщик-вымогатель, тест-шифровальщик)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish + CBC+ hardcoded key "SOC Ransomware Test", а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Spiteful Doubletake. На файле написано: Spiteful Doubletake (LIVE).exe. Написан в Perl. Целевая система: x64 Windows. Прямо сообщает пострадавшим, что он возьмёт деньги, но не вернёт файлы. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc

Этимология названия:
Оригинальное название "Spiteful Doubletake" переводится как "Злобный дубль". Смысл заключается в двух диалоговых окнах, в котором описывается вся суть этого "злобного дубля". 
Мораль: Не плати вымогателям, они уйдут с твоими деньгами. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце января 2019 г. Штамп времени создания: 13 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговые окна. Текст написан на корявом английском, но смысл понять можно. 
При клике на кнопку [Pay Now!] появляется второе окно. 
Можно предположить, что по замыслу разработчика это должно научить пострадавших НЕ платить вымогателям. 

Содержание текста о выкупе:
All your files are belong to me!!!
You persn foolish, all youre files have i encrypted and you must pay NOW!
If you dont you fle be gone forever
You must pay now my bitcoin address $500 dollars usd cash.
You will neuer euer see your files again if you do not pay.
Pay bitcoins address: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Pay Now!]
----------
You fool! I'm not going to actually give you your files back!
But I will take your money though.
[Okay...]

Перевод текста на русский язык:
Все твои файлы принадлежат мне !!!
Ты глупый человек, все твои файлы зашифрованы, и ТЕПЕРЬ ты должен платить!
Если ты этого не делаешь, файлы исчезнут навсегда
Ты должен заплатить мой биткоин-адрес $500 долларов США.
Ты никогда не увидишь свои файлы, если не будешь платить.
Плати на биткоин-адрес: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Платить сейчас!]
----------
Ты дурак! Я не буду возвращать тебе твои файлы!
Хотя я и заберу твои деньги.
[Окей...]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Разработчик прямым текстом сообщает, что уплата выкупа бесполезна. 

➤ Шифрование реально присутствует. Картинка в подтверждение. 

Скриншоты из кода шифровальщика.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Spiteful Doubletake (LIVE).exe
CSPITEFUL DOUBLETAKESpiteful Doubletake (LIVE).exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***
BTC: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Gefest, Gefest 3.0

Gefest 3.0 Ransomware

Scarab-Gefest Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Gefest 3.0 и GEFEST 3.0 RANSOMWARE. На файле написано: нет данных.

© Генеалогия: Scarab Ransomware >> Scarab-Amnesia > предыдущие варианты > Scarab-Gefest (Gefest 3.0)

Это изображение — логотип статьи. Изображает скарабея с подковой и огнём.

This image is the logo of the article. It depicts a scarab with horseshoe and fire.

К зашифрованным файлам добавляется расширение: .GEFEST


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
                                  GEFEST 3.0 RANSOMWARE
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software.
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers on bestbitcoinexchange.io  
You have unique idkey , write it in letter when contact with us.
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files.
                                      Attention!   
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
                                  Contact information:
                          primary email: mrpeterson@cock.li
                          reserve email: debora2019@airmail.cc
  Your unique idkey:
+4IAAAAAAAAU0+K0H***UPnm8MToAQ

Перевод записки на русский язык:
                                  GEFEST 3.0 RANSOMWARE
Ваши файлы зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК.
Есть только один способ вернуть ваши файлы: связаться с нами, оплатить и получить программу расшифровки.
Мы принимаем биткоины и другие криптовалюты, вы можете найти обменники на bestbitcoinexchange.io
У вас есть уникальный idkey, напишите его в письме, когда свяжитесь с нами.
Также вы можете расшифровать 1 файл для проверки, это гарантия того, что мы можем расшифровать ваши файлы.
                                       Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
                                   Контакты:
                           основной email: mrpeterson@cock.li
                           резервный email: debora2019@airmail.cc
Ваш уникальный idkey:
+4IAAAAAAAAU0+K0H***UPnm8MToAQ

Примечание. 
Часть текста записки (почти 4 строки) скопированы из html-записки Sigrun Ransomware (обновление от 24 мая 2018). Так как это непопулярное заимствование, то можно предположить, что sigrun'цы перешли на этот Scarab и взяли в название другой мифологический персонаж — Гефест из греческой мифологии. 
Позже я обнаружил, что кто-то из тех, кто ранее использовал Hermes Ransomware, тоже перешел на Scarab и стал использовать Scarab-Gefest для вымогательства денег. Так, что дорожка оказалась более длинной. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mrpeterson@cock.li, debora2019@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2019:
Пост в Твиттере >>
Расширение: .Gefest3
Записка: DECRYPT INFORMATION.TXT
Email: mrpeterson@cock.li, debora2019@airmail.cc

Обновление от 21 марта 2019:
Пост в Твиттере >>

Обновление от 22 марта 2019:
Пост в Твиттере >>
Расширение: .GFS
Составное расширение: .[mrpeterson@cock.li].GFS
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mrpeterson@cock.li

Обновление от 7-14 апреля 2019:
Топик на форуме >>
Расширение: .crabslkt или .CRABSLKT
Email: resoutnowfewminutes@airmail.cc
Email BM: BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch

Этот адрес использовался ранее вымогателями, распространявшими Hermes Ransomware. 
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

➤ Содержание записки: 
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software.
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers.  
You have unique idkey , write it in letter when contact with us.
Also you can decrypt 1 file for test(not important), its guarantee what we can decrypt your files.
Attention!   
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Contact information:
primary email: BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch
reserve email: resoutnowfewminutes@airmail.cc
 Your unique idkey:
+4IAAAAAAAA***FhpQ0
Your message will be as confirmation you are ready to pay for decryption key.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Cyspt

Cyspt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cyspt. На файле написано: arescrypt.exe

© Генеалогия: AresCrypt >> BlackFireEye, Cyspt 

К зашифрованным файлам добавляется расширение: .OOFNIK


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Штамп времени: 19 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Вероятно является просто переименованным вариантом AresCrypt.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Cyspt has locked your PC!!!!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases, and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
In addition, your PC will be unable to close this without restarting, which will be fatal to your files.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily.
But if you want to decrypt all your files, you need to pay.
You only have 24 hours to submit the initial, low rate payment. After that the price will be doubled.
Also, if you don't pay in 3 days, you won't be able to recover your files forever.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About Bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoin>.
And send the correct amount to the address specified in this window.
To confirm the payment, send a message to cysptcc@gmail.com
Send your unique id, along with your Bitcoin account
After your payment, click <Check Payment>. 8est time to check: 5:00 to 8:00 EST.
Once the payment is checked, you can start decrypting your files immediately.
Contact
DO NOT REMOVE OUR SOFTWARE OR REBOOT.
THIS WILL RESULT IN AN AUTOMATIC REVOCATION OF OUR DECRYPTION SERVICES.

---

Send $40 worth of Bitcoin to this address:

1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7

Перевод записки на русский язык:
Cyspt заблокировал ваш ПК !!!!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они зашифрованы. Возможно, вы ищете способ восстановить ваши файлы, но не тратите свое время. Никто не сможет восстановить ваши файлы без нашего сервиса расшифровки.
Кроме того, ваш ПК не сможет закрыть это без перезагрузки, что будет фатальным для ваших файлов.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 24 часа для подачи указанного платежа по низкой ставке. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 3 дней, вы не сможете восстановить свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About Bitcoin>.
Пожалуйста, проверьте текущую цену Биткоина и купите биткоины. Для подробной информации нажмите <How to buy Bitcoin>.
И отправьте правильную сумму по адресу, указанному в этом окне.
Чтобы подтвердить платеж, отправьте сообщение на cysptcc@gmail.com
Отправьте свой уникальный id вместе с вашим Bitcoin аккаунтом
После оплаты нажмите <Check Payment>. Лучшее время для проверки: с 5:00 до 8:00 EST.
После проверки платежа вы можете сразу же приступить к расшифровке файлов.
Контакт
НЕ УДАЛЯЙТЕ НАШУ ПРОГРАММУ ИЛИ НЕ ПЕРЕЗАГРУЖАЙТЕ.
ЭТО ПРИВЕДЕТ К АВТОМАТИЧЕСКОМУ ОТЗЫВУ НАШИХ СЛУЖБ ДЕШИФРОВАНИЯ.
---
Отправьте $40 в биткоинах по этому адресу:
1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
arescrypt.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cysptcc@gmail.com
BTC: 1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as AresCrypt)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.