пятница, 30 октября 2015 г.

PowerShell Locker

PowerShell 2015 Ransomware 

PowerShell Locker 2015 Ransomware

PowerWorm Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует посетить Tor-сайт, чтобы ознакомиться с условиями выкупа, оплатить от 2 до 4 BTC, получить ключ и дешифровщик, а затем с их помощью вернуть файлы. Название получил от того, что используются возможности Microsoft PowerShell

К сожалению, для всех пострадавших от действий этого криптовымогателя, нет возможности восстановить зашифрованные файлы, т.к. в процессе программирования вымогателями были допущены ошибки, которые привели к тому, что данные безвозвратно испорчены. Уплата выкупа бесполезна! 

© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE


Легитимный компонент в руках преступников — оружие!

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2015 - январь 2016 г. Ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру.

Записки с требованием выкупа и инструкциями называются:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt


Содержание записки README.txt:

Extract the .ps1 file and run with Powershell. 
Depending on the size of your system it may take either minutes to hours to complete decryption. 
You can use files again when DECRYPT_INSTRUCTION.html has been removed from folder.

Перевод записки на русский язык:
Извлеките файл .ps1 и работайте с Powershell.
В зависимости от размера вашей системы может уйти от минут до часов на полную расшифровку.
Вы можете использовать файлы, если DECRYPT_INSTRUCTION.html удален из папки.



Содержание записок с инструкциями "DECRYPT_INSTRUCTION"

What happened to your files? 
All of your files were protected by a strong encryption with RSA-2048. 
 More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean? 
 This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. 
How did this happen? 
 Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. 
 All your files were encrypted with the public key, which has been transferred to your computer via the Internet. 
 Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.  
What do I do? 
 Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. 
 If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.  
For more specific instructions, please visit this home page: 
1.http://vswefkqsipoeuq5o.onion.nu 
 Please scroll below for your #UUID 
If for some reasons the address is not available, follow these steps: 
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: vswefkqsipoeuq5o.onion
 4. Follow the instructions on the site. 
IMPORTANT INFORMATION:
Your Home PAGE: http://vswefkqsipoeuq5o.onion.nu
Your Home PAGE(using TOR): vswefkqsipoeuq5o.onion
Please scroll below for your #UUID
Your #UUID is EFTK8odtw47RMslfhDWV2iL6c
Guaranteed recovery is provided before scheduled deletion of private key on the day of 01/01/2016 11:09:27 
The price to obtain the decrypter goes from 500 $ to 1000 $ on the day of 12/12/2015 11:09:27 

Кроме нижней части и веб-адресов на Tor-сайты, сама "инструкция" была заимствована вымогателями у криптовымогателя CryptoWall. 

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены 
надежным  шифрованием RSA-2048. 
Подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: 
http://en.wikipedia.org/wiki/RSA_(cryptosystem) 
Что это значит?
Это означает, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете их восстановить. 
Как это произошло?
Специально для Вас, на нашем сервере был создан секретный ключ пары RSA-2048 - открытый и секретный. 
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на компьютер через Интернет. 
Дешифровать файлы можно лишь с помощью секретного ключа и декриптера, находящихся на нашем секретном сервере. 
Что мне делать?
Увы, если вы не примите нужные меры за определенное время, то будут изменены условия для получения секретного ключа. 
Если вы точно цените ваши данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет. 
Для подробных инструкций, пожалуйста, посетите страницу:
1.http://vswefkqsipoeuq5o.onion.nu 
Пожалуйста, прокрутите ниже для вашего #UUID
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите Tor-браузер: 
http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации. 
3. Введите в адресной строке: vswefkqsipoeuq5o.onion
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша веб-страница: 
http://vswefkqsipoeuq5o.onion.nu
Ваша веб-страница (с помощью TOR): vswefkqsipoeuq5o.onion 
Пожалуйста, прокрутите ниже для вашего #UUID
Ваш #UUID это EFTK8odtw47RMslfhDWV2iL6c
Гарантированное восстановление до запланированного удаления секретного ключа до дня 01/01/2016 11:09:27
Цена за декриптер будет от 500 $ до 1000 $ в день 12/12/2015 11:09:27


Скриншот сайта оплаты

Содержание текста со страницы сайта оплаты:
Instructions to unlock your files / data:
1. Download and install the Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins. (check DECRYPT_INSTRUCTION.HTML for correct amount based on date) and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed earlier. From there, hit the "Send" tab Send the remaining BTC (bitcoin) to our Bitcoin-wallet address:
1Pw1Jin***
Now submit the form below, only if you've actually sent the Bitcoins Upon manual verification of the transaction you will receive the decrypter through email within 12 hours ALL of your files/data will then be unlocked and decrypted automatically.
Do NOT move files around or try to temper them in any way. because the decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again! If payment is not received within ten days (check DECRYPT_JNSTRUCTION HTML for date) the price for the decrypter is doubled Scheduled deletion of the key is after 30 days, we will not be able to recover files after this.
Your
BTC-address:
Your ID:
Your Email:
Submit

Перевод текста со страницы сайта оплаты:
Инструкции по разблокировке ваших файлы / данных:
1. Загрузите и установите приложение Multibit. Это даст вам свой адрес Bitcoin-кошелька. Вы можете найти его на вкладке "Request". Вставить это в поле "Your BTC-address" ниже.
2. Купите биткоины. (Проверьте в DECRYPT_INSTRUCTION.HTML корректность суммы по дате) и отправьте их на свой адрес Bitcoin-кошелька, они отобразятся в приложении Multibit, что вы установили ранее. Оттуда нажмите "Send" для отправки оставшихся BTC (Bitcoin) на адрес нашего Bitcoin-кошелька:
1Pw1Jin***
Теперь заполните форму ниже, только если вы уже послали биткоины после ручной проверки, из
сделки вы получите декриптер по email в течение 12 часов, все ваши файлы / данные будут
разблокированы и расшифрованы автоматически.
НЕ перемещайте файлы или пытайтесь их поправить каким-либо образом, потому что декриптер больше не будет работать
Пожалуйста, помните, что это единственный способ, чтобы снова получить доступ к вашим файлам! Если платеж не получен в течение десяти дней (проверьте DECRYPT_JNSTRUCTION HTML по дате) цена на декриптер удваивается, по расписанию удаление ключа через 30 дней, мы не сможем восстановить файлы после этого.
Ваш BTC-адрес:
Ваш ID:
Ваш Email:
Отправить

---


Другой вариант записки содержит другие адреса. 

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1. lgemfolpt5ntjaot.onion.nu 
Your ID# is qDgx5Bs8H
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: lgemfolpt5ntjaot.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: lgemfolpt5ntjaot.onion.nu 
Your Home PAGE(using TOR): lgemfolpt5ntjaot.onion
Your ID# (if you open the site (or TOR's) directly): qDgx5Bs8H
---
Guaranteed recovery is provided before scheduled deletion of private key on the day of 11/28/2015 12:56:49
The price to obtain the decrypter goes from 2BTC to 4BTC on the day of 11/08/2015 12:56:49
---

Записки о выкупе является копиями той, что использовалсь в Cryptowall Ransomware, но вымогатель добавил свои собственные предупреждения внизу, сообщая, что цена выкупа возрастет, если выкуп не заплатят быстро. Также имеется идентификатор, который должен быть уникальным для каждой жертвы. На самом деле этот идентификатор у всех одинаковый.

Другим информаторами жертвы являются сайты, указанные в записке. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Разработан в PowerShell и представляет собой небольшой 54-строчный скрипт. При запуске он сначала удаляет теневые копии файлов, чтобы  исключить возможность восстановления файлов. 

➤ Файлы шифруются с помощью AES, хотя в записке указан RSA-2048, а затем из-за ошибки в программировании ключ шифрования не сохраняется. Разработчик-вымогатель не написал всего лишь один пропавший символ "=". По этой причине зашифрованные файлы становятся невосстановимыми, даже если заплатить выкуп. Уплата выкупа безполезна! 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (450 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы бухгалтерских, налогоплатежных и прикладных программ, файл Alcohol, файлы AutoCAD и других подобных программ, архивы и пр. 

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: vswefkqsipoeuq5o.onion.nu
Tor-URL: vswefkqsipoeuq5o.onion
URL: lgemfolpt5ntjaot.onion.nu 
Tor-URL: lgemfolpt5ntjaot.onion
Email: - 
BTC: 1Pw1JinSMhf93MRqfYW3KeywX8oFjs6fLe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up on BC
 ID Ransomware (ID PowerShell Locker)
 Topic on BC
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 19 октября 2015 г.

BitLocker

BitLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.22 до 1-2 BTC или больше, чтобы вернуть файлы. Оригинальное название: BitLocker, bitlocker. 

👉 Вымогатели показательно использовали BitLocker, включенный в ОС Windows Professional и Enterprise, чтобы шифровать файлы. BitLocker оказался уявимым легитимным ПО шифрования данных. Из-за этого злоумышленники смогли использовать его для шифрования файлов на ПК пострадавших и вымогательства у них денег. 

Позже некоторые пострадавшие купили пароль у вымогателей и несколько раз подтвердили, что использовался пароль: =-0987654321!@#$%^&*()_++_)(*&^%$#@!
После 16 июля 2016 года этот пароль был изменен. 
--- 

© Генеалогия: Microsoft 
BitLocker >> BitLocker Ransomware

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не 
добавляется.

Активность этого крипто-вымогателя началась в 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Согласно данным от пострадавших, злоумышленники не прекращали свою вымогательскую деятельность на протяжении нескольких лет. 
Последний пострадавший сообщил о продолжающемся вымогательстве в декабре 2020 года. То, что выплаты до сих пор активны, подтверждается новым BTC-адресом, на который поступают биткоины. Кошельки регулярно меняются. 

Записка с требованием выкупа называется: PLEASE READ.txt


Содержание записки о выкупе:

Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM as fast as you can and email me at sociopatii@yahoo.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( sociopatii@yahoo.com ) if you wanna get the bitlocker password. Thanks for your time!


Перевод записки на русский язык:
Привет всем.
Я хотел бы сказать вам, первое, сожалею об этом. Ваши документы, файлы, базы данных на месте или некоторые ваши локальные данные перемещены. Если хотите вернуть доступ к вашему локальному диску, всем вашим файлам, документам и т.д., пошлите 1 BTC (биткойн) на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM как можно быстрее и напишите мне на email sociopatii@yahoo.com Если вы не знаете, что есть биткойн, спросите меня о веб-сайте биткойн, где вы можете купить его быстро, или ищите в Google местный биткойн-магазин или банкомат и пошлите 1 BTC на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Я не виноват, если вы отформатируете диск и все потеряете. Есть только один путь вернуть все и восстановить доступ к вашему локальному жесткому диску, и этот путь прислать 1 биткойн на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Это просто бизнес, не попытка получить ваши деньги, а затем не дать вам bitlocker пароль. Жду вашего ответа на мой email адрес sociopatii@yahoo.com, если вы хотите получить bitlocker пароль. Спасибо за ваше время!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Шифруются локальные и внешние диски, и все пользовательские файлы на них. 
Среди них наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
PLEASE READ.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Пароль для расшифровки файлов: 
=-0987654321!@#$%^&*()_++_)(*&^%$#@!

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sociopatii@yahoo.com
Первая выплата на этот кошелек: 15 февраля 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


См. ниже в обновлениях другие адреса и контакты.

См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2015:
Email: sociopatii@yahoo.com
За неимением более раннего варианта записки, эти данные также указаны в основной статье. На этот BTC-кошелек платежи поступали уже с 15 февраля 2015 года. 


Обновление от 20-27 октября 2015:
Email: cage1@gmx.us


➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 as fast as you can and email me at cage1@gmx.us If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( cage1@gmx.us ) if you wanna get the bitlocker password. Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 20 октября 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


=== 2016 ===


Обновление от 1 мая 2016:
Записка: PLEASE READ.txt
Email: datebatut@gmail.com, datebatut@pochta.com

➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 2 BTC (Bitcoin) to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS as fast as you can and email me at datebatut@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 2 BTC to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 2 Bitcoin to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( datebatut@gmail.com or datebatut@pochta.com if the gmail not work ) if you wanna get the bitlocker password. 
Please do not hesitate to contact me should you have any questions or concerns.
Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 января 2016 года.
Последняя выплата: 13 июля 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2017 ===

Обновление от 20 февраля 2017: 
Помещает файлы в виртуальный жёсткий диск (VHD), затем требует выкуп в 0.5 BTC.
Email: davidblainemagique@gmail.com, davidblaine@mail2world.com
Записка: PLEASE READ.txt

➤ Содержание записки:
Hello there.  You can also use https://translate.google.com/
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local data please send 0.5 BTC (Bitcoin) to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch as fast as you can and email me at davidblainemagique@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 0.5 BTC to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker passoword. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 0.5 Bitcoin to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals 
Disk so this is the only chance to get all back. Waiting for your reply to my email address ( davidblainemagique@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) if you wanna get the bitlocker password.
If you have any questions please feel free to contact me at anytime.
Thanks for your time!
PS: Your files are here on VIRTUAL HARD DISK the location is here
C:\drivers\s.vhd
See here how to open your drive
https://www.youtube.com/watch?v=m3Pxn23dFuQ
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 ноября 2016 года.
Последняя выплата: 26 марта 2017 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2018 ===
=== 2019 ===


=== 2020 ===

Обновление от 23 декабря 2020:
Email: bitlockerlock.unlock@gmail.com, davidblaine@mail2world.com
Новый BTC-кошелек: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8


➤ Содержание записки:
Hello there.  
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your encrypted local data. If you want to regain access to your local data please send 500 AUD in  BTC (Bitcoin) to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8 fast as you can and email me at bitlockerlock.unlock@gmail.com to get your bitlocker password to unlock all data. You can buy bitcoin(legal cryptocurrence in your country, so no any illegal stuff) using bank wire, credit\debit card, paypal, almost all payments method worldwide. Very easy and secure to buy bitcoin from your location. You have to pay for decryption in Bitcoins. After payment we will send you the bitlocker key that will decrypt all your files. If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 500 AUD in  BTC to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker password. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 500 AUD in  BTC Bitcoin to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
After payment, we will send you the Bitlocker password that will decrypt all your files instantly. It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals Disk so this is the only chance to get all back. Waiting for your reply to my email address ( bitlockerlock.unlock@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) for bitlocker password. 
If you have any questions please feel free to contact me at anytime. 
GET 20% OFF IF YOUR PAYMENT IS DONE IN 24 HOURS. 
bitlockerlock.unlock@gmail.com
Thanks for your time!
---
Примечательно, что в записке сумма выкупа указана в австралийских долларах (AUD). 
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 30 ноября 2020 года.
Последняя выплата: 23 декабря 2020 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author), quietman7
 to the victims who reported on the forum
 ***
 ***
 

© Amigo-A (Andrew Ivanov): All blog articles.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *