GetCrypt

GetCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 и RSA-4096, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC, и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ChristsIbrahim и Tky If Dos.

Обнаружение: 
ALYac -> Trojan.Ransom.GetCrypt
DrWeb -> Trojan.MulDrop9.11198, Trojan.Encoder.28201
Malwarebytes -> Ransom.GetCrypt
BitDefender -> Trojan.GenericKD.41309446, Gen:Heur.Ransom.Imps.1
Kaspersky -> Trojan.Win32.DelShad.hr

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Уменьшенное изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{4}>

Примеры расширений из загруженных образцов: 
.NHCR
.ONYC

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # DECRYPT MY FILES #.txt

Содержание записки о выкупе:
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithra.
Without the original key recovery is impossible.
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
CpbNPC3in+gflXBWw+85FpmEPijhUwB5ko1oiaLljVQ/MmJ***

Перевод записки на русский язык:
Внимание! Ваш компьютер был атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографическим алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ НАПИШИТЕ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
CpbNPC3ingflXBWw85FpmEPijhUwB5ko1oiaLljVQ/MmJ***

---
Как видно из текста, он немного недописан. Полный текст и второй email см. на изображении ниже. 

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста с изображения:
ATTENTION
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible. 
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES
YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
please use this alternative email address: CRYPTGET@TUTANOTA.COM
1. Open your browser
2. Write to our mail: GETCRYPT@COCK.LI
3. Attach file encrypted_key.bin from %appdata% to your message

Перевод текста на русский язык:
ВНИМАНИЕ
Внимание! Ваш компьютер атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографически надежным алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ
ВАМ НУЖНО НАПИСАТЬ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
пожалуйста, используйте этот альтернативный email-адрес: CRYPTGET@TUTANOTA.COM
1. Откройте ваш браузер
2. Пишите на нашу почту: GETCRYPT@COCK.LI
3. Прикрепите файл encrypted_key.bin из% appdata% к вашему сообщению.

---
Стиль изображения с текстом похож на тот, что использовался ранее в Cerber Ransomware. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig Exploit Kit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Кажется, ПК пользователей из стран СНГ должны пропускаться. 

➤ Удаляет теневые копии файлов стандартной командой из арсенала Windows: vssadmin.exe delete shadows /all /quiet

➤ Дроппирует в систему множество файлов. 

➤ Список пропускаемых директорий ("белый список"): 
C:\Windows\System32
C:\Windows\System32\svchost.exe
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Windows
:\Boot
:\System Volume Information
:\Recovery
AppData

➤ Пытается получить доступ к ресурсам локальной сети, перебирая следующие логин-пароли:
admin
administrator
Administrator
test
1111
11111
111111
Guest
Home
root
developer
r00t
ro0t
r0ot
qwerty
1234
12345
123456
1234567
12345678
123456789
1234567890

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# DECRYPT MY FILES #.txt
bs03u4lh.bin.exe
<random>.exe - случайное название вредоносного файла
encrypted_key.bin
Tempdesk.bmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\encrypted_key.bin
\AppData\Local\Tempdesk.bmp
C:\Dub\Echoplex\8\Release\F1.pdb 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getcrypt@cock.li, cryptget@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
ᕒ  ANY.RUN analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 - видеообзор предоставлен сервисом ANY.RUN

 Thanks: 
 Petrovic, GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

BulbaCrypt HT

BulbaCrypt HT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Bulba, ss.exe и God.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
Symantec -> Ransom.HiddenTear!g1

© Генеалогия: HiddenTear >> BulbaCrypt

К зашифрованным файлам добавляется расширение: .Crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address india2lock@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат .Crypted.
Эта форма файлов '.Crypted' является совместной разработкой American Hackers.
Вы можете восстановить файлы только используя расшифровщик и пароль, которые, в свою очередь, знаем только мы.
Подобрать это невозможно.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам письмо на адрес india2lock@gmail.com
У вас осталось 48 часов. Если они не расшифрованы, то через 48 часов они будут удалены !!!

Запиской с требованием выкупа также выступает экран блокировки.

Содержание текста на экране:
Hello - admin
Your computer name - USER-PC
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted ".Crypted".
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password.
Click the tab "Decryption instructions" and follow the instructions

Перевод текста на русский язык:
Привет - admin
Имя вашего компьютера - USER-PC
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат ".Crypted".
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля.
Нажмите на вкладку "Инструкции по расшифровке" и следуйте инструкциям

---

Скриншоты с другими вкладками экрана блокировки. 

Скриншоты с сайта ethclicks.live, который теперь заблокирован, показывают то, что там было.  

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ss.exe
HOW TO DECRYPT FILES.txt
Decrypter.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ethclicks.live
xxxx://ethclicks.live/lo/write.php
xxxx://ethclick.live/ss.exe - payload
xxxx://ethclicks.live/lo/index.html - Panel
Email: india2lock@gmail.com
BTC: 1Whw7gqqi9GeqHixPvgMNo2aiHSSEyPvT
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> 
𝚺  VirusTotal analysis на файл Decrypter.exe >> 
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Frost, Petrovic, JAMESWT, Michael Gillespie
 Andrew Ivanov (author), Emmanuel_ADC-Soft
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

ChaCha, 66116166

ChaCha Ransomware

66116166 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA + ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Смотрите видеообзор >>

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .<random4-7>

Пример расширений:
.rC0syGH
.DL1fZE
.LKc07P
.FBrRDWC
.t6brFnQ
.0HOgD
.MJNW

При этом, на одном ПК могут добавляться разные расширения к разным файлам. Принцип такой зависимости пока неясен. 

Кроме того, в конец зашифрованных файлов добавляется маркер файлов: 0x66116166

Это видно на скриншотах ниже, где этот маркер присутствует в разных файлах из разных ПК. Возможно, что это изменится позже, но на момент написания статьи и публикации это факт. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие были из США. 

Записка с требованием выкупа называется: DECRYPT-FILES.html

Содержание записки о выкупе:
0010 SYSTEM FAILURE 0010
***************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
***************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email: 
getmyfilesback@airmail.cc 
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
Base64: 
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***

---
Красным выделены слова с ошибками. 

Перевод записки на русский язык:
0010 SYSTEM FAILURE 0010
***************************
Внимание! Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
***************************
Единственный способ расшифровать ваши файлы - это купить у нас закрытый ключ.
Вы можете бесплатно расшифровать один из ваших файлов в доказательство, что у нас есть метод для расшифровки остальных ваших данных.
Чтобы получить закрытый ключ, контактс с нами по email:
getmyfilesback@airmail.cc
Не забудьте поторопиться, т.к. ваш email-адрес может не будет доступен долго.
Покупка ключа немедленно гарантирует, что 100% ваших файлов будут восстановлены.
Ниже вы увидите большой блоб base64, вам нужно будет написать нам на email и скопировать этот блок в письмо.
Вы можете нажать на него, и он будет скопирована в буфер обмена.
Если у вас возникли проблемы с копированием, просто отправьте нам файл, который вы сейчас читаете, в виде вложения.
Base64:
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getmyfilesback@airmail.cc
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14-15 мая 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html

Также использует изображение, заменяющее обои Рабочего стола. 

В текст записки добавляется имя пользователя. 

 Результаты анализов: VT + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ChaCha)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от Cyber Security GrujaRS

 Thanks: 
 Michael Gillespie, Cyber Security GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wesker

Wesker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.75 DASH (~100$), чтобы вернуть файлы. Оригинальное название: Wesker Encrypter и Wesker Decryptor. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип с сайта вымогателей

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов WESKER_ENC

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в начале мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!INSTRUCTION_RNSMW!!!.txt

Содержание записки о выкупе:
_________________________________________________
Hello, dear friend ツ 
All your work and personal files have been encrypted by the
W E S K E R     E N C R Y P T E R.
Your files are NOT damaged, they are modified only. They can be decrypted.
How to decrypt files?
You have to buy special software — «Wesker Decryptor».
The method of payment, the cost of the decryptor and other answers to the questions, you can find on your unique page.
For this:
[1] Download «Tor-browser» ( https://www.torproject.org/download/download-easy.html )
[2] Install and run it
[3] Open the website in the «Tor-browser»: http://wesker7b27uikjn3.onion/index.php?6b1AAdbb9d737C529783cf7eec9703dA
[4] Follow the further instructions.
IMPORTANT:
* Do not try to reinstall the OS, restore and decrypt the files yourself. All attempts will be unsuccessful.
** You can get the decryptor ONLY on the specified link.
*** If you do not have the ability to use «Tor-browser», use the «Telegram» to get the actual list of web mirrors: https://t.me/tor2web_wesker 
_________________________________________________
---BEGIN WESKER KEY---
3EfCC66625B0B3C77Ed0d1135BE86B00zf79Fme9lOEqwb+5VXmSPV95FnuZZHY0+PWnldmJ
***Bei+CMkTFlvFj8Nw4
---END WESKER KEY---
---BEGIN PC DATA---
dC504376F3a09e99a8e60C951ad9baab3u+RqddfDoA8khQ7kuYavaKvTE***2Q6PUa0lCm9/a
---END PC DATA---
_________________________________________________

Перевод записки на русский язык:
_________________________________________________
Привет, дорогой друг!
Все ваши рабочие и личные файлы были зашифрованы
W E S K E R     E N C R Y P T E R.
Ваши файлы НЕ повреждены, они только изменены. Они могут быть расшифрованы.
Как расшифровать файлы?
Вы должны купить специальную программу - «Wesker Decryptor».
Способ оплаты, стоимость расшифровки и другие ответы на вопросы вы можете найти на своей уникальной странице.
Для этого:
[1] Скачайте «Tor-browser» (https://www.torproject.org/download/download-easy.html)
[2] Установите и запустите
[3] Откройте сайт в «Tor-браузере»: http://wesker7b27uikjn3.onion/index.php?6b1AAdbb9d737C529783cf7eec9703dA
[4] Следуйте дальнейшим инструкциям.
ВАЖНЫЙ:
* Не пытайтесь переустановить ОС, восстановить и расшифровать файлы самостоятельно. Все попытки будут безуспешными.
** Вы можете получить расшифровщик ТОЛЬКО по указанной ссылке.
*** Если у вас нет возможности использовать «Tor-browser», используйте «Telegram», чтобы получить актуальный список веб-зеркал: https://t.me/tor2web_wesker
_________________________________________________
---BEGIN WESKER KEY---
3EfCC66625B0B3C77Ed0d1135BE86B00zf79Fme9lOEqwb + 5VXmSPV95FnuZZHY0 + PWnldmJ
*** Bei + CMkTFlvFj8Nw4
---END WESKER KEY---
---BEGIN PC DATA---
dC504376F3a09e99a8e60C951ad9baab3u + RqddfDoA8khQ7kuYavaKvTE *** 2Q6PUa0lCm9 / а
---END PC DATA---
_________________________________________________

Скриншот с сайта уплаты выкупа. 

Скриншот с сайта Telegram

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!INSTRUCTION_RNSMW!!!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://wesker7b27uikjn3.onion/
Email: - 
DASH:
Telegram: xxxxs://t.me/tor2web_wesker 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Wesker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.