BlackByte

BlackByte Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BlackByte. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> BlackByte

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .blackbyte

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в середине июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: BlackByte_restoremyfiles.hta

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackByte_restoremyfiles.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackbyte@onionmail.org
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as BlackByte)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NoHope

NoHope Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 5000 � (переводчик Google считает, что этот знак гривна) в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: NoHope, NoHopeProject. На файле написано: нет данных. 

---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> NoHope

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nohope


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Знак в тексте после суммы 5000 означает гривну (деньги в Украине). Это может указывать на то, что выкуп ориентирован на жителей Украины. текст написанот первого лица, вероятно вымогатель — новичок в вымогательстве. 

Записка с требованием выкупа называется: NOHOPE_README.txt

Содержание записки о выкупе:

Sorry, it's an unlucky day for you

All your files have been encrypted.

To get the key you will have to pay 5000� in Monero CryptoCurrency

Contact me at nohopeproject@protonmail.com and I'll tell you how to pay.

You have 5 days, after which I will delete the recovery key and you will lose all your files.

Don't try to restore or decrypt, it's impossibile. are your backup are gone.

Перевод записки на русский язык:

Извини, это неудачный день для вас

Все ваши файлы зашифрованы.

Чтобы получить ключ, вам нужно заплатить 5000 грн в Monero CryptoCurrency.

Контакт со мной на nohopeproject@protonmail.com, и я расскажу, как платить.

У вас есть 5 дней, после которых я удалю ключ восстановления, и вы потеряете все свои файлы.

Не пытайтесь восстановить или расшифровать, это невозможно. ваши резервные копии пропали.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NOHOPE_README.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nohopeproject@protonmail.com
Monero: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as NoHope)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Spider Py

Spider Py Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransomware.Spider.b!. Язык программирования: Python. Разработчик: xiaomeng. 
---
Обнаружения:
DrWeb -> Python.Encoder.36, Python.Encoder.38
BitDefender -> Trojan.Python.Agent.IX, Trojan.GenericKD.37206381
ESET-NOD32 -> Python/Filecoder.HL
Kaspersky -> Trojan.Python.Agent.cd, Trojan-Ransom.Win32.Gen.abpr
Malwarebytes -> Ransom.FileCryptor.Python.Generic, Ransom.FileCryptor.Python
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0WG221
---

© Генеалогия: другие разработки на Python >> Spider Py

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Spider

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: ***нет данных***


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Из-за ошибки выполнения скрипта шифрование не выпоняется на некоторых компьютерах и VM. Изучить подробнее не представляется возможным. 

Список типов файлов, подвергающихся шифрованию:
Большинство файлов, кроме исключаемых. 

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключаемые типы файлов: 

.sys, .exe, .dll, на диске C, размер менее 10 Мб.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
encrypt.exe - название вредоносного файла (ранний вариант); 

Ransomware.Spider.b!.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
BTC: 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS-1: VT, IA, TG, AR

MD5: 0ca5f4c1f5f9548f46fbb1cbdd05aa10

---

IOS-1: VT, IA

MD5: 07361a2c4307375cd12aabc2bd08127a

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AvosLocker

AvosLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: AvosLocker. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34160
ALYac -> Trojan.Ransom.Avaddon
Avira (no cloud) -> TR/Cryptor.gxzkf
BitDefender -> DeepScan:Generic.Ransom.BTCWare.AB3FFEB6
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Ransom.Avaddon
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Trojan.Generic@ML.82 (RDML:4Ey*
TrendMicro -> Ransom_Avaddon.R002C0DGJ21
---

© Генеалогия: ✂ Avaddon >> AvosLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .avos


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: GET_YOUR_FILES_BACK.txt

Содержание записки о выкупе:

Attention!

Your files have been encrypted using AES-256.

We highly suggest not shutting down your computer in case encryption process is not finished, as your files may get corrupted.

In order to decrypt your files, you must pay for the decryption key & application.

You may do so by visiting us at hxxx://avos2fuj6olp6x36.onion.

This is an onion address that you may access using Tor Browser which you may download at hxxxs://www.torproject.org/download/

Details such as pricing, how long before the price increases and such will be available to you once you enter your ID presented to you below in this note in our website.

Hurry up, as the price may increase in the following days.

Message from agent: If you fail to respond in 4 days, the cost of decryption will double up and we will leak some of your data. In 10 days, we will leak all the data we have.

Your ID: 35b1fc*** [totally 64 characters]

Перевод записки на русский язык:

Внимание!

Ваши файлы были зашифрованы с использованием AES-256.

Мы рекомендуем не выключать компьютер, если процесс шифрования не завершен, т.к. ваши файлы могут быть повреждены.

Чтобы расшифровать ваши файлы, вы должны заплатить за ключ дешифрования и приложение.

Вы можете сделать это, посетив нас по адресу hxxx://avos2fuj6olp6x36.onion.

Это onion-адрес, к которому вы можете получить доступ через браузер Tor, который можно скачать на hxxxs: //www.torproject.org/download/

Информация, такая как цена, время до её повышения и т.д., будет вам доступна, когда вы введете свой ID, показанный ниже в этом примечании, на нашем сайте.

Спешите, в ближайшие дни цена может вырасти.

Сообщение от агента: Если вы не ответите за 4 дней, цена расшифровки удвоится, и мы выложим некоторые ваши данные. После 10 дней мы выложим все данные, которые у нас есть.

Ваш ID: 35b1fc *** [всего 64 символа]

---

Ошибки в записке говорят о том, что английский неродной язык для автора текста. Или кто-то умышленно имитирует незнание английского языка. 

---

Содержание текст на сайте:

AvosLocker

Your network and hard drives were encrypted using AES-256 military grade encryption.

AvosLocker will aid you in the recovery and restoration of the files affected.

Please enter your ID (presented to you in the note) in order to continue.

Failure to contact us in due time might incur additional charges and damages.

Your ID ***

Перевод текста на сайте:

AvosLocker

Ваша сеть и жесткие диски зашифрованы шифрованием военного уровня AES-256.

AvosLocker поможет вам вернуть пострдавшие файлы.

Введите ваш ID (показанный вам в записке), чтобы продолжить.

Отсутсвие контакта с нами может повлечь за собой дополнительные расходы и ущерб.

Ваш ID ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
---

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GET_YOUR_FILES_BACK.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\AppData\Local\Temp\43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Сообщение на сайте Cafedreed: hxxxs://cafedread.com/post/avoslocker-ransomware-accepting-affiliates-ef5f80c705df9a407db3

Tor-URL: hxxx://avos2fuj6olp6x36.onion

XMPP: avos@thesecure.biz

Email: avos@mail2tor.com 
XMR (Monero): *** 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: d285f1366d0d4fdae0b558db690497ea

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as AvosLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Diavol

Diavol Ransomware

LockMainDIB Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью RSA, а затем требует посетить сайт вымогателей, чтобы узнать, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: Diavol. На файле написано: locker.exe.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ✂ Conti-2, 3 >> Diavol

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lock64


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в конце июне 2021 г. Точной даты не сообщалось, образец вредоносного файла не опубликован. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:

# What happened? #

Your network was ATTACKED, your computers and servers were LOCKED.

You need to buy decryption tool for restore the network.

Take into consideration that we have also downloaded data from your network that in case of not making paynent will be published on our news website.

# How to get my files back? #

1. Download Tor Browser and install it.

2. Open the Tor Browser and visit our website - hxxxs://r2gttyb5vqu6swf5.onion/***/***

Tor Browser may be block in your country or corporate network. Try to use Tor over VPN!

Перевод записки на русский язык:

# Что случилось? #

Ваша сеть АТАКОВАНА, ваши компьютеры и серверы БЛОКИРОВАНЫ.

Вам надо купить средство дешифрования, чтобы восстановить сеть.

Учтите, что мы также загрузили данные из вашей сети, которые в случае неуплаты будут опубликованы на нашем новостном сайте.

# Как вернуть мои файлы? #

1. Загрузите Tor браузер и установите его.

2. Откройте Tor браузер и посетите наш веб-сайт - hxxxs://r2gttyb5vqu6swf5.onion/***/***

Tor браузер может быть заблокирован в вашей стране или в корпоративной сети. Попробуйте использовать Tor через VPN!

Другим информатором является изображение, заменяющее обои Рабочего стола. 

Скриншоты сайта вымогателей: 

Технические детали

Исследователи из FortiGuard Labs предположили связь Diavol Ransomware с киберпреступной группой Wizard Spider считают её российской), стоящей за ботнетом Trickbot, и распространением Conti Ransomware, но не смогли найти прямой связи и не предоставили неопровержимых доказательств. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Diavol включает 14 различных подпрограмм, хранящихся в виде растровых изображений. Они вызываются в порядке, указанном на схеме. 

GENBOTID создает уникальный идентификатор для каждого зараженного компьютера. Он состоит из следующих компонентов:

<NetBIOS_computer_name> + <username> + "_W" + <OS major version in hex> + <OS minor version in hex> + <OS build number in hex> + "." + <random_GUID_bytes in hex>

Возможно этот ID должен выглядить примерно так: CNServerAdmin_WXXXXXXXXXXXX.XXXX

Но я не уверен, а реальный пример исследователями не предоставлен. 

➤ Diavol завершает запущенные процессы, которые могут заблокировать доступ к ценным файлам, таким как базы данных, офисные приложения, финансовое и бухгалтерское программное обеспечение, веб-серверы и виртуальные машины.

Так подпрограмма SERVPROC завершает работу служб с помощью API диспетчера служб (SCM). Для этого нужны права администратора, поэтому злоумышленники заранее предприняли соответствующие действия. Среди них попытка остановить следующие службы:

sqlservr.exe, sqlmangr.exe, RAgui.exe, QBCFMonitorService.exe, supervise.exe, fdhost.exe, Culture.exe, RTVscan.exe, Defwatch.exe, wxServerView.exe, sqlbrowser.exe, winword.exe, GDscan.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe,axlbridge.exe, 360se.exe, 360doctor.exe, QBIDPService.exe, wxServer.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, wdswfsafe.exe.

Подпрограмма KILLPR пытается завершить процессы из следующего списка: 

DefWatch, ccEvtMgr, ccSetMgr, SavRoam, dbsrv12, sqlservr, sqlagent, Intuit.QuickBooks.FCS, dbeng8, sqladhlp, QBIDPService, Culserver, RTVscan, vmware-usbarbitator64, vmware-converter, VMAuthdService, VMnetDHCP, VMUSBArbService, VMwareHostd, sqlbrowser, SQLADHLP, sqlwriter, msmdsrv, tomcat6, QBCFMonitorServicechrome.exe, outlook.exe, chrome.exe

➤ Diavol использует асинхронные вызовы процедур (APC) пользовательского режима без симметричного алгоритма шифрования, несмотря на то, что алгоритмы асимметричного шифрования работают значительно медленнее, чем симметричные алгоритмы.

➤ Хотя Diavol не упакован и не имеет каких-либо приемов анти-дизассемблирования, он использует интересную технику антианализа для обфускации своего кода. Его основные процедуры хранятся в растровых BMP-изображениях, которые хранятся в разделе ресурсов PE. Перед вызовом каждой подпрограммы копируются байты из растрового изображения в глобальный буфер, имеющий разрешения на выполнение.

Импорты, используемые каждой подпрограммой, также хранятся в разделе ресурсов под "OFFSET" с теми же именами, что и BMP-изображения.

Более подробно это описано в оригинальной статье Fortinet (ссылка). 

Список типов файлов, подвергающихся шифрованию:
Шифруются файлы многих типов, это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список исключаемых расширений файлов, названий файлов и путей:

.exe, .sys, .dll, .lock64, readme_for_decrypt.txt, locker.txt, unlocker.txt, %WINDIR%\, %PROGRAMFILES%\, %PROGRAMW6432%\, %TEMP%\

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt - название файла с требованием выкупа;
locker.exe - случайное название вредоносного файла; 

locker64.dll - еще один вредоносный файл; 

LockMainDIB.pdb - название файла проекта;

Diavol Unlocker - инструмент разблокировки и расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D:\Development\Master\onion\locker.divided\LockMainDIB\Release\LockMainDIB.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxxs://r2gttyb5vqu6swf5.onion

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

SHA256: 85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Diavol)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Fortinet, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.