Если вы не видите здесь изображений, то используйте VPN.

вторник, 19 ноября 2019 г.

Nyton

Nyton Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Nyton Virus. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nyton


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !NYTON_HELP.TXT

Содержание записки о выкупе:
All your files have been encrypted with Nyton Virus.
Your unique id: C59B2C0A617F4D40BBACF75BF699CAFD
As a private person you can buy decryption for 300$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion web page in the Tor Browser and follow the instructions.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы Nyton Virus.
Ваш уникальный id: C59B2C0A617F4D40BBACF75BF699CAFD
Как частное лицо вы можете купить расшифровку за 300$ в биткойнах.
Но прежде оплаты вы можете убедиться, что мы реально можем расшифровать любые ваши файлы.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделайте это:
1) Загрузите и установите Tor браузер (https://www.torproject.org/download/)
2) Откройте веб-страницу yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion в Tor браузере и следуйте инструкциям.



Другим информатором жертвы является веб-страница на onion-сайте.

Содержание страницы:
1) Send a few encrypted files (no more 3 files, no more 10 MB per letter) to nyton@cock.li. Dont forget to include you ID from !NYTON_HELP.TXT.
2) We will decipher them and send you back with bitcoin address for payment.
3) After payment ransom for Bitcoin, we will send you a decryption program and aes-key with instructions. If we can decrypt any of your files, we have no reason to deceive you after payment. 

Перевод на русский язык:
1) Пришлите несколько зашифрованных файлов (не более 3 файлов, не более 10 МБ на письмо) на nyton@cock.li. Не забудьте включить ваш ID из !NYTON_HELP.TXT.
2) Мы расшифруем их и пришлем вам назад с биткойн-адресом для оплаты.
3) После уплаты выкупа за биткойны, мы вышлем вам программу расшифровки и aes-ключ с инструкциями. Если мы можем расшифровать любой из ваших файлов, у нас нет оснований обманывать вас после оплаты.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!NYTON_HELP.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: yfnsui2onmw5fb4ekr4r64mrcxw6pwcwrhxx4k5ylp7u7c66jti2y3id.onion
Email: nyton@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Nyton)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 ноября 2019 г.

SpartCrypt

SpartCrypt Ransomware

SpartCript Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке указано SpartCript и SpartCrypt. На файле написано: Chrome и Spart_E.exe. Фальш-копирайт: Copyright 1999-2019 Chrome and Google developers. All rights reserved.

Обнаружения:
DrWeb -> Trojan.Encoder.29792
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.SpartCrypt
Microsoft -> Ransom:Win32/Higuniel.A
TrendMicro -> Ransom_Higuniel.R002C0DKF19
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
Rising -> Trojan.Phobos/HELP!1.BCC4*


© Генеалогия: HiddenTear >> разные однотипные Ransomware > SpartCrypt

К зашифрованным файлам добавляется расширение: .Encrypted

Фактически используется составное расширение:
.SpartCrypt[LordCracker@protonmail.com]-[ID-XXXXXXXX].Encrypted

Пример зашифрованного файла:
Document.doc.SpartCrypt[LordCracker@protonmail.com]-[ID-71D2C847].Encrypted

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Штамп времени: 13 ноября 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How_To_Restore_Your_Files.txt
info.hta
 

Содержание записки о выкупе:
_______________________________________________________

Spart Cript
_______________________________________________________
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[-] Write Us To The E-Mail : LordCracker@protonmail.com - Phabos@cock.li
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : XXXXXXXX
[-] You Have To Pay For Decryption In Bitcoins.
[-] The Price Depends On How Fast You Write To Us.
[-] After Payment We Will Send You The Decryption Tool
That Will Decrypt All Your Files.
_______________________________________________________
[+] Free Decryption As Guarantee [+]
[-] Before Paying You Can Send Us Up To 5 Files For
Free Decryption, The Total Size Of Files Must Bee Less 
Than 10MB, (Non Archived) And Files Should Not Contain 
Valuable Information (Databases, Backups, Large Excel 
-Sheets, Etc). 
_______________________________________________________
[+] How To Obtain Bitcoins [+] 
[-] The Easiest Way To Buy Bitcoins Is LocalBitcoins
Site : https://localbitcoins.com/buy_bitcoins
You Have To Register, Click 'Buy Bitcoins', And Select
The Seller By Payment Method And Price. 
[-] Also You Can Find Other Places To Buy Bitcoins And 
Beginners Guide Here: 
http://coindesk.com/information/how-can-i-buy-bitcoins
_______________________________________________________ 
[+] Attention! [+] 
[-] Do Not Rename Encrypted Files. 
[-] Do Not Try To Decrypt Your Data Using Third Party 
-Software, It May Cause Permanent Data Loss. 
[-] Decryption Of Your Files With The Help Of Third 
Parties May Cause Increased Price (They Add Their Fee 
To Our) Or You Can Become A Victim Of A Scam.
_____________________Spart_Crypt_______________________


Перевод записки на русский язык (без коррекции):
Spart Cript
[+] Все ваши файлы были зашифрованы [+]
[-] Вы действительно хотите восстановить ваши файлы?
[-] Напишите нам на email: LordCracker@protonmail.com - Phabos@cock.li
[-] Напишите свой уникальный ID в заголовке вашего сообщения.
[+] Уникальный ID: XXXXXXXX
[-] Вы должны платить за расшифровку в биткойнах.
[-] Цена зависит от того, как быстро вы пишете нам.
[-] После оплаты мы вышлем вам инструмент для расшифровки
Это расшифрует все ваши файлы.
[+] Бесплатная расшифровка как гарантия [+]
[-] Перед оплатой вы можете отправить нам до 5 файлов
Свободное дешифрование, общий размер файлов должен быть меньше
Более 10 МБ (не в архиве) и файлы не должны содержать
Ценная информация (базы данных, резервные копии, большой Excel)
Листы и т. Д.)
[+] Как получить биткойны [+]
[-] Самый простой способ купить биткойны - это LocalBitcoins 
Сайт: https://localbitcoins.com/buy_bitcoins
Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать
Продавца по способу оплаты и цене.
[-] Также вы можете найти другие места для покупки биткойнов и
Руководство для начинающих здесь:
http://coindesk.com/information/how-can-i-buy-bitcoins
[+] Внимание! [+]
[-] Не переименовывайте зашифрованные файлы.
[-] Не пытайтесь расшифровать ваши данные с помощью от третьих лиц
-Программы, это может привести к постоянной потере данных.
[-] Расшифровка ваших файлов с помощью третьей
Стороны могут вызвать повышение цены (они добавляют свою плату к 
Нашей) Или Вы можете стать жертвой мошенников.
_____________________Spart_Crypt_______________________



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Spart_E.exe
How_To_Restore_Your_Files.txt
info.hta
SINFO.txt - специальный файл
<random>.exe - случайное название вредоносного файла
dev_man.exe
l.bat
r.py
r.pyw
sdel.exe
Spart_E.pdb - файл проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Spart_E\Spart_E\obj\Debug\Spart_E.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: LordCracker@protonmail.com, Phabos@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 ноября 2019:
Самоназвание (в заголовке): SpartCrypter
Пост в Твиттере >>
Составное расширение (пример): .SpartCrypt[LordCracker@protonmail.com]-[ID-C4BA3647].Encrypted
Записки: How_To_Restore_Your_Files.txt, info.htaSINFO.txt
Email: LordCracker@protonmail.com, Phabos@cock.li
Файлы: spart_protected.exe, Spart_E.exe
Результаты анализов: VT + AR
 


Обновление от 7 июля 2020:
Самоназвание (в заголовке): CoronaCrypt
Пост в Твиттере >>
Составное расширение (пример): .CoronaCrypt[u.contact@aol.com]-[ID-004E761C].Encrypted
Составное расширение (шаблон): .CoronaCrypt[u.contact@aol.com]-[ID-<id>].Encrypted
Записки: How_To_Restore_Your_Files.txt, info.hta, SINFO.txt
Email: u.contact@aol.com
Файл: Spart_E.exe
Результаты анализов: VT + IA
 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft Decryptor по ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SpartCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 ноября 2019 г.

JesusCrypt

JesusCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Jesus Crypt. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: HiddenTear >> JesusCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале ноября 2019 г. Возможно, что был известен и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted with Jesus Crypt
Send me some $200 worth of bitcoins To : ###
Or Your Files Will Be Unaccessabe ! 

Перевод записки на русский язык:
Файлы были зашифрованы с Jesus Crypt
Отправьте мне биткойны на $200: ###
Или ваши файлы будут недоступны!

Другим информатором жертвы выступает экран с текстом: 

Содержание текста о выкупе:
Your Files Has Been Encrypted!
How To Recover
Your data has been encrypted due the security problem
If you want to restore your files send imail to us
Before paying you can send 1MB file for decryption test to guarantee that your files can be restored
Test file should not contain valuable data (databases, large excels, backups)
Do not rename files or do not try decryt files with 3rd party softwares, it my damage your files and increase decryption price

Перевод текста на русский язык:
Ваши файлы были зашифрованы!
Как восстановить
Ваши данные были зашифрованы из-за проблем с безопасностью
Если вы хотите восстановить ваши файлы, отправьте нам письмо
Перед оплатой вы можете отправить файл 1MB для тест-расшифровки, чтобы гарантировать, что ваши файлы могут быть восстановлены
Тестовый файл не должен содержать ценные данные (базы данных, большие копии, резервные копии)
Не переименовывайте файлы и не пытайтесь расшифровывать файлы с помощью программ сторонних производителей, это может повредить ваши файлы и повысить стоимость расшифровки



Технические детали

Находится в разработке и пока массово не распространяется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
<random>.exe - случайное название вредоносного файла

Расположения: 
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\test\READ IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

PureLocker

PureLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные (в основном базы данных) на серверах, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PureLocker. Написано на языке программирования PureBasic. Для шифрования используются алгоритмы AES + RSA. 

Обнаружения:
DrWeb -> Trojan.Encoder.30110
BitDefender -> Trojan.GenericKD.42014529
ALYac -> Trojan.Ransom.PureLocker
Avira (no cloud) -> TR/PureLocker.A, TR/PureLocker.B
ESET-NOD32 -> A Variant Of Win32/Filecoder.PureLocker.A
TrendMicro -> Ransom.Win32.PURELOCKER.A
Microsoft -> Ransom:Win32/PureLocker!MSR


© Генеалогия: неназванные сборки >> PureLocker
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CR1


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2019 г., но проходила в тихом режиме и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOUR_FILES.txt

Содержание записки о выкупе:
#CR1
All your files have been encrypted using: AES-256-CBC + RSA-4096.
Shadows copies were removed, original files were overwritten, renamed and deleted using safe methods.
Recovery is not possible without own RSA-4096 private key.
Only we can decrypt your files!
To decrypt your files contact us at: cr1-silvergold1@protonmail.com
Your private key will be deleted after 7 days starting from: 4/11/2019, after that the recovery of your files will not be possible.

Перевод записки на русский язык:
#CR1
Все ваши файлы зашифрованы с использованием: AES-256-CBC + RSA-4096.
Теневые копии удалены, оригинальные файлы перезаписаны, переименованы и удалены безопасными методами.
Восстановление невозможно без родного закрытого ключа RSA-4096.
Только мы можем расшифровать ваши файлы!
Чтобы расшифровать ваши файлы, свяжитесь с нами по адресу: cr1-silvergold1@protonmail.com
Ваш закрытый ключ будет удален через 7 дней, начиная с: 4/11/2019, после чего восстановление ваших файлов будет невозможно.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Чем опасен PureLocker? 
PureLocker написан на языке программирования PureBasic, который легко переносится между Windows, Linux и OS-X, поэтому злоумышленникам могут атаковать разные платформы. PureLocker содержит строки кода вредоносного бэкдора "More_eggs", 
основанного JavaScript, который продается в ДаркНете и используется опытными киберпреступниками. С его помощью злоумышленники могут удаленно контролировать взломанные компьютеры и загружать дополнительные вредоносные программы на ПК своих жертв. 
Так "More_eggs" использовался некоторыми действующими сегодня кибер-группами, включая Cobalt Gang и FIN6. Это указывает на то, что PureLocker также предназначен для опытных кибер-преступников, которые знают, как ударить по крупной организации, чтобы нанести существенный урон.

"О яйцах"
Trend Micro летом 2017 года первыми идентифицировали "More_eggs" и с того времени известно, что этот вредоносный инструмент использовался в многочисленных вредоносных кампаниях по email, направленных на восточноевропейские (главным образом российские) финансовые учреждения, производителей банкоматов и платежные системы.
Другие названия "More_eggs"SpicyOmelette, Terra Loader.

➤ PureLocker не проявляет себя как вредонос, если его запускать в песочнице или программах для исследования вредоносного ПО. Благодаря такому функционалу он несколько недель оставался незамеченным антивирусными движками и исследователями. 

➤ PureLocker удаляет теневые копии файлов, чтобы исключить возможность восстановления файлов. 

Список файловых расширений, подвергающихся шифрованию:
Шифруются в основном базы данных и файлы, представляющие коммерческую ценность, по мнению вымогателей. Исполняемый файлы пропускаются. 

Файлы, связанные с этим Ransomware:
YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cr1-silvergold1@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>  JSA>> JSA>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PureLocker)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Michael Kajiloti (Intezer), Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *