HiddenBeer

HiddenBeer Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: HiddenBeer. На файле написано: HiddenBeer.

© Генеалогия: HiddenTear >> HiddenBeer

К зашифрованным файлам добавляется расширение: .beer

Этимология названия: HiddenTear + Beer = HiddenBeer

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: @FILES-HELP-USER-PC.TXT
Например: @FILES-HELP-HAPUBWS-PC.txt

Содержание записки о выкупе:
<!HIDDENBEER!>
Your files have been encrypted.
Why have they been encrypted?
To help ensure your security. 
To get them decrypted by our specialists,
 just send $100 worth of Bitcoin(BTC), to: 33Lf7BrDXwNBMM4ZVg5dMQg1Bvuwzd1VQm.
Afterwards send a Email to "tr0ning@protonmail.com" with your computer name and transaction data.
Computer name: HAPUBWS-PC
Once you have your decryption key, Use it in the file decrypter.
If it isn't open, goto your Desktop and run "@FILE-DECRYPTER.exe"
<!HIDDENBEER!>

Перевод записки на русский язык:
<!HIDDENBEER!>
Ваши файлы зашифрованы.
Почему они зашифрованы?
Чтобы обеспечить безопасность.
Чтобы их расшифровать нашими специалистами,
  просто отправьте биткоины (BTC) на сумму 100 долларов, на: 33Lf7BrDXwNBMM4ZVg5dMQg1Bvuwzd1VQm.
Затем отправьте email на адрес "tr0ning@protonmail.com" с указанием имени компьютера и данных транзакции.
Имя компьютера: HAPUBWS-PC
Когда у вас есть ключ дешифрования, используйте его в файле decrypter.
Если он не открыт, перейдите на рабочий стол и запустите "@FILE-DECRYPTER.exe"
<!HIDDENBEER!>

Информаторами жертвы также выступают экран блокировки и изображение, заменяющее обои Рабочего стола. 

На изображении заменяющем обои видны только клочки изображения.
Оригинальное изображение, которые было использовано для модифицированного изображения, находится в ресурсах под именем Un, и выглядит следующим образом.

Фраза, которая появляется после запуска процесса дешифрования:
Decrypting files... Please wait while doesn't appears Files decrypted and don't worry if software doesn't answear.
If the applicaton freezes(blue circle mouse) DON'T CLOSE THE DECRYPTER, THAT'LL CORRUPT YOUR FILES.

Третье изображение из ресурсов шифровальщика, которое устанавливается на компьютер в качестве обоев после дешифрования.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HiddenBeer.exe
@FILES-HELP-USER.TXT
@FILE-DECRYPTER.exe
<random>.exe - случайное название
HiddenBeer.pdb - оригинальное название проекта вымогателя
hidden-beer-decrypter.pdb - оригинальное название проекта дешифратора

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tr0ning@protonmail.com
BTC: 33Lf7BrDXwNBMM4ZVg5dMQg1Bvuwzd1VQm
xxxxs://i.imgur.com/G8NFB3n.jpg
xxxx://207.148.72.239/Ransom/write.php?info=
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеооролик от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SOLO

SOLO Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Оригинальное название SOLO Verschlüsselungssoftware. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .SOLO


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину октября 2018 г. Ориентирован на немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: IHRE_DATEIEN_SIND_VERSCHLUESSELT.html

Содержание записки о выкупе:
Alle Ihre Dateien wurden verschlüsselt.
Ihr Computer wurde mit der SOLO Verschlüsselungssoftware infiziert. Ihre Dateien wurden verschlüsselt und können nicht von Ihnen selbst entschlüsselt werden.
Bitte nehmen Sie keine versuche vor, Ihre Dateien selbst zu entschlüsseln, im schlimmsten Fall werden Sie Ihre Dateien beschädigen und somit für immer **unverschlüsselbar machen.**
Um Ihre Dateien zu entschlüsseln, benötigen Sie unsere spezielle Entschlüsselungssoftware:
SOLO Decrypter welche alle Ihre verschlüsselten Dateien sofort entschlüsselt, desweiteren entfernt die Software die SOLO Verschlüsselungssoftware von Ihrem PC.
Der Preis für die Entschlüsselungssoftware beläuft sich auf 0.2 Bitcoin (etwa $1,200).
Bitcoin können Sie auf einen der vielzähligen Krypto-Marktplätzen ganz einfach per Kreditkarte oder Banküberweisung kaufen. Beispiele zu Diensten, wo Sie Bitcoin kaufen können:
Bitpanda - Kreditkarte, SOFORTueberweisung, Giropay, Bankueberweisung
BTC Direct - Kreditkarte, SOFORTueberweisung, Giropay, Bankueberweisung
ANYcoin Direct - SOFORTueberweisung, Giropay, Bankueberweisung
Localbitcoins - Grosse Anzahl an Zahlungsmoeglichkeiten
Coinmama - Kreditkarte
Weitere Möglichkeiten finden Sie mit einer kurzen Google suche nach 'Bitcoins kaufen'.
Nachdem Sie die benötigte Anzahl an Bitcoins (0.2 BTC) erworben haben, senden Sie diese an die folgende Bitcoin-Adresse:
Adresse:
151oCJ1espbmqya9Vj2xxjxi1APb8zhqYR
Betrag:
0.2 BTC 
Nachdem wir den kompletten Betrag erhalten haben, wird ihnen automatisch die Entschlüsselungssoftware zum Download bereit gestellt (bitte nehmen Sie keine modifikationen an dieser Datei vor, damit die ordnungsgemäße Funktionalität sichergestellt ist).
Der komplette Betrag wurde noch nicht bezahlt.
Entschlüsselungssoftware Herunterladen

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Ваш компьютер был заражен программой SOLO. Ваши файлы были зашифрованы и не могут быть расшифрованы вами.
Пожалуйста, не пытайтесь расшифровывать свои файлы сами, в худшем случае вы повредите свои файлы и, таким образом, сделаете их **недешифруемыми навсегда **
Чтобы расшифровать ваши файлы, вам надо специальную программу для дешифрования:
SOLO Decrypter, который сразу расшифровывает все ваши зашифрованные файлы, а также удаляет программное обеспечение SOLO для шифрования с вашего ПК.
Цена программного обеспечения для дешифрования составляет 0,2 биткойна (около 1200 долларов США).
Вы можете легко купить биткоин на одном из многих криптовых рынков с помощью кредитной карты или банковского перевода. Примеры услуг, в которых вы можете купить биткойн:
Битпанда - Кредитная карта, Мгновенный банковский перевод, Giropay, Банковский перевод
BTC Direct - Кредитная карта, Мгновенный банковский перевод, Giropay, Банковский перевод
ANYcoin Direct - SOFORT Transfer, Giropay, Банковский перевод
Localbitcoins - большое количество вариантов оплаты
Coinmama - кредитная карта
Вы можете найти больше вариантов с коротким поиском Google для «покупки биткоинов».
После покупки необходимого количества биткоинов (0.2 BTC) отправьте их на следующий биткоин-адрес:
адрес:
151oCJ1espbmqya9Vj2xxjxi1APb8zhqYR
количество:
0.2 BTC
После того, как мы получим полную сумму, программное обеспечение для дешифрования будет автоматически предоставлено вам для скачивания (пожалуйста, не вносите никаких изменений в этот файл, чтобы обеспечить надлежащую функциональность).
Полная сумма еще не оплачена.
Скачать программу дешифрования
Работает на AES.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифрует даже свою записку. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IHRE_DATEIEN_SIND_VERSCHLUESSELT.html
SOLO Decrypter
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 151oCJ1espbmqya9Vj2xxjxi1APb8zhqYR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FilesL0cker

FilesL0cker Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: FilesL0cker RAN$OMWARE. На файле написано: Windows Update.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину октября 2018 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
#DECRYPT MY FILES#.txt
#解密我的文件#.txt

Содержание записки #DECRYPT MY FILES#.txt:
FilesL0cker RAN$OMWARE
###########################################
All your important files(database,documents,images,videos,music,etc.)have been encrypted!and only we can decrypt!
To decrypt your files,follow these steps:
1.Buy 0.18 Bitcoin
2.Send 0.18 Bitcoin to the payment address
3.Email your ID to us,after verification,we will create a decryption tool for you.
Email:bakfiles@protonmail.com
Payment:3EZGS8P439PbBeiWjsGYjSSaRHn9CXKDRQ
Your ID:_
F5gVQOzbJYHmlL5OIvCitfMr2fGxaC4Ez1uk8/HdmGjrkkgd4mcM/NHJgOJxkpzyazTg==***

Перевод записки на русский язык:
FilesL0cker RAN$OMWARE
###########################################
Все ваши важные файлы (база данных, документы, изображения, видео, музыка и т. д.) зашифрованы! и только мы можем расшифровать!
Чтобы расшифровать ваши файлы, сделайте следующие действия:
1. Купите 0.18 биткоин
2. Отправьте 0,18 биткоин на адрес платежа
3. Пошлите в email свой ID нам, после проверки, мы сделаем для вас дешифратор.
Email: bakfiles@protonmail.com
Оплата: 3EZGS8P439PbBeiWjsGYjSSaRHn9CXKDRQ
Твой ID:_
F5gVQOzbJYHmlL5OIvCitfMr2fGxaC4Ez1uk8/HdmGjrkkgd4mcM/NHJgOJxkpzyazTg==***

Запиской с требованием выкупа выступает экран блокировки на китайском и английском языках (с переключателем):

Как можно видеть на комбинированном скриншоте, еще онлайн загружается изображением с текстом. 

Через день изображение оказалось недоступным.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск.

➤ Удаляет теневые копи файлов с помощью команды:
vssadmin.exe delete shadows /all /quiet

Используется несколько копий вредоноса, что можно увидеть на следующем скриншоте.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.txt
#解密我的文件#.txt
Windows Update.exe
5b88484028ab1.pnq
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://i.loli.net/2018/08/31/5b88484028ab1.pnq
Email: bakfiles@protonmail.com

BTC: 3EZGS8P439PbBeiWjsGYjSSaRHn9CXKDRQ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Birbware

Birbware Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует отправить nxf#3688, чтобы вернуть файлы. Оригинальное название: Birbware. На файле написано: ransom.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .birbb


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

 

Экран блокировки отдельно, он же на фоне обоев и сами обои — кадр из старого фильма "Птицы" (англ. "The Birds", 1963) Альфреда Хичкока.

Содержание текста о выкупе:
uh-oh you just got urself some birbware
if u wanna get rid of this birbware u can send nxf#3688
some spicy mems on discord and maybe he will
give you the encryption key ¯\_(ツ)_/¯

Перевод текста на русский язык:
эх, вы только что получили немного birbware
если хотите избавиться от birbware, отправьте nxf#3688
немного острых мемов на discord и возможно
вы получите ключ шифрования ¯ \ _ (ツ) _ / ¯

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.exe
TOTALLYLEGIT.EXE
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

District, CtrlAlt

CtrlAlt Ransomware

District Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать на email, чтобы узнать сумму выкупа в # BTC за возврат файлов. Оригинальное название: не указано. На файле написано: alt.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .сtrlalt@cock.li.district


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.district

Содержание записки о выкупе:
You only have 96 hours to submit the payment
Danger: our contacts change every 3 days
Do not hesitate, contact us immediately
Then we will not be available
Attention: if you do not have money then you do not need to write to us!
The file is encrypted with the AES-256 algorithm
Only we can decrypt the file!
Don't delete "NO_DELETE_SEND_IT" at Desktop
If you want decrypt data, send this file to us
Our email: ctrlalt@cock.li

Перевод записки на русский язык:
У вас есть только 96 часов для отправки платежа
Опасно: наши контакты меняются каждые 3 дня
Не стесняйтесь обращаться к нам сразу
Тогда мы не будем доступны
Внимание: если у вас нет денег, вам не нужно писать нам!
Файл зашифрован алгоритмом AES-256
Только мы можем расшифровать файл!
Не удаляйте "NO_DELETE_SEND_IT" на рабочем столе
Если вы хотите дешифровать данные, отправьте нам этот файл
Наш email-адрес: ctrlalt@cock.li

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NO_DELETE_SEND_IT
READ_IT.district
alt.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ctrlalt@cock.li.district
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 17 октября 2018:
Пост в Твиттере >>
Видеообзор >>
Расширение: .altdelete@cock.li.district
Записка: READ_IT.district
Email: altdelete@cock.li.district

Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as District)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.