четверг, 31 марта 2016 г.

CryptoHasYou

CryptoHasYou Ransomware

.CryptoHasYou. Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.4312
Avira (no cloud) -> HEUR/AGEN.1110387
BitDefender -> Gen:Variant.Graftor.746916
ESET-NOD32 -> A Variant Of Win32/Filecoder.NGD
Kaspersky -> Trojan.Win32.Deshacop.bzu
Kingsoft -> Win32.Troj.Undef.(kcloud)
Microsoft -> Trojan:Win32/Dynamer!ac
Rising -> Trojan.Filecoder!8.68 (TFE:4:VZ4csWKwUXN)
Symantec -> Trojan.Dropper
Tencent -> Ransom.Win32.CryptHasyou.b
TrendMicro -> Ransom_CRYPTESLA.YUYAKG
---

К зашифрованным файлам добавляется расширение .enc

Этимология названия: 
Название крипто-вымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия крипто-вымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили на .enc.  

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 

Записка о выкупе, TXT-версия

Записка о выкупе, BMP-версия


  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
 vssadmin.exe vssadmin delete shadows /all /quiet 
 bcdedit.exe bcdedit /set {default} recoveryenabled no 
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures 

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения: .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 

По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает крипто-вымогатель буквально всеядным. 

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 



Сетевые покдючения и связи:
Email: locked@vistomail.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>

Степень распространённости: средняя
Подробные сведения собираются.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as CryptoHasYou)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 


© Amigo-A (Andrew Ivanov): All blog articles. 

среда, 30 марта 2016 г.

KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWareKimcilWare



За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонезназвание злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

вторник, 29 марта 2016 г.

MireWare

MireWare Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы обратно. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии. См. также KimcilWare

К зашифрованным данным добавляются расширения .bleeped, .fucked, .fuck 

© Генеалогия: Hidden Tear modified >> MafiaWare > MireWare 




Записка о выкупе READ_IT.txt размещается на Рабочем столе и в корне каждого диска. 

Содержание записки о выкупе: 
Files have been encrypted
Send me some bitcoins to decrypte your files
Contact tuyuljahat@hotmail.com for more information and deal!

Перевод на русский язык:
Файлы были зашифрованы
Отправь мне биткоины, чтобы дешифровать файлы
Пишите на tuyuljahat@hotmail.com для информации и сделки!

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml

Файлы, связанные с этим Ransomware:
%UserProfile% \Desktop\READ_IT.txt
hidden-tear.exe
<random>.exe

В настоящее время C&C-серверы вымогателей отключены, потому вымогатель подключиться к серверу через HTTPS не может. Есть сведения, что вымогатели сменили сервера, переписали шифровальщики и используют для атаки пользователей другие Ransomware: KimcilWare, 8lock8 и ряд других пока малоизвестных. 

Степень распространённости: низкая.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

понедельник, 28 марта 2016 г.

0kilobypt

0kilobypt Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, серверов и сетевых устройств, а затем требует выкуп, чтобы вернуть файлы. Вымогатели используют свой email, добавляемый в записку или вместо расширения. Оригинальное название: в записках не указано. На файле написано: нет данных. Эта статья первый и единственный источник информации об этом вымогательстве. Уплата выкупа бесполезна! 

© Генеалогия: ранние версии вымогателей-стирателей >> 0kilobypt и другие модификации, включая похожие по ВИД

Этимология названия:
0 kilobytes + crypt = 0kilobypt

К незашифрованным файлам никакое расширение не добавляется. Информация в файлах стирается. Размер файлов становится равным: 0 килобайт или 0 байт. Впрочем, с течением времени всё и этот размер в том числе может поменяться. 

Оригинальные файлы могут быть предварительно переправлены злоумышленникам или безвозвратно затёрты нулями. 
Уплата выкупа бесполезна! 

Для данной операции используются легитимные или хакерские утилиты. После проведенной атаки производится зачистка от использованных файлов. 

Внимание! Новые версии, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность была замечена с марта 2016 г. Ориентирован на русскоязычных пользователей (страны Восточной Европы и Россия) или совсем не использует записок о выкупе, что не мешает распространять его по всему миру. С 2021 стали появляться записки на английском языке. 

Записка с требованием выкупа может называться по-разному, примеры ниже и в блоке обновлений:

Для получения доступа пишите на 
<email_ransom>

ПРОЧИТАТЬ!!!.txt

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
<email_ransom>

ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
<email_ransom>

ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(<email_ransom>)

README.txt

!!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt

Список известных <email_ransom> см. в конце статьи.

Содержание записки о выкупе обычно на русском языке, при этом дублируется название записки или совсем отсутствует. 


Вот несколько примеров текста с форумов. 

1) ссылка >>
ваши файлы зашифрованы. 
Для получения доступа пишите на 
tikitakbum@rambler.ru

2) ссылка >>
Для получения доступа к файлам пишите нa thorntitini1979@danwin1210.me

3) ссылка >>
ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
postal.surgut@danwin1210.me

4) ссылка >>
ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
dizelmon@danwin1210.me

5) ссылка >>
Текст отсутствует

6) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(eed8Aeta@danwin1210.me) 

7) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(chaiRo7u@danwin1210.me)



Технические детали

В большинстве случает распространяется путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


!!! Затертые нулями файлы невозможно восстановить никакими доступными средствами. 
Возможно также используется руткит, перехватывающий функции копирования и переноса файлов. Уплата выкупа бесполезна!  

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Текстовые файлы с разными названиями (см. выше). 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tikitakbum@rambler.ru
thorntitini1979@danwin1210.me
postal.surgut@danwin1210.me
dizelmon@danwin1210.me
eR8iech5@danwin1210.me
eed8Aeta@danwin1210.me
chaiRo7u@danwin1210.me
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя, но продолжается несколько лет.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Активность замечена с марта 2016 г. Возможно, была и раньше. 
Принцип действия повторяется с годами — оригинальные файлы забиты нулями. 
Модификации могут принадлежать как тем же, так и другим группам вымогателей. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4-10 декабря 2018:
Топик на форуме >>
Топик на форуме >>
Расширение: .CRYPT
Записка (оригинал): !!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt
Якобы зашифрованный файл: 
!!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt.Iyieg9eB@secmail.pro.rar 
 9905_01873.jpg.[Iyieg9eB@secmail.pro].CRYPT 
Email: Iyieg9eB@secmail.pro

Обновление от 13 декабря 2018
Пост в Твиттере >>
Расширение: .CRYPT
Составное расширение: .[Ux3oe7ae@secmail.pro].CRYPT
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt.[Ux3oe7ae@secmail.pro].CRYPT
Email: Ux3oe7ae@secmail.pro
Записка с расширением пустая.
Оригинальные файлы затерты нулями.

Обновление от 11 марта 2019
Тема на форуме >>
Расширение: .cr
Составное расширение: .[Xieth8ie@secmail.pro].cr
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt.[Xieth8ie@secmail.pro].cr
Email: Xieth8ie@secmail.pro
Записка с расширением пустая. Что было в оригинальной, пока неизвестно. 
Оригинальные файлы затерты нулями. Скриншоты прилагаются. 
 


Обновление от 12 марта 2019, если его можно так назвать. 
Скорее это некое изменение предыдущего вымогательства. 
Возможно, что это даже не совсем "родня". 
Пост в Твиттере >>
Записка: WHERE ARE YOUR FILES READ ME (ГДЕ ТВОИ ФАЙЛЫ, ПРОЧИТАЙ МЕНЯ).txt
Файлу сопутствует некий бинарный файл ELF с названием _AW7IV~D (VT)
Email: ghjujy@tuta.io
BTC: 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
➤ Содержание записки (английский, немецкий, русский текст):
ID [redacted IP]
Congratulations!
Your files have been successfully transferred to the online store, where they will be stored for 14 days.
After the expiration of 14 days, your files will be deleted from the online store.
To access the files
1) Send your ID to email ghjujy@tuta.io
2) Pay 0,07 bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) After payment, you will receive instructions on how to retrieve your files back
your ID [redacted IP]
---
Herzlichen Gluckwunsch!
Ihre Dateien wurden erfolgreich in den Online-Shop ubertragen, wo sie fur 14 Tage gespeichert werden.
Nach Ablauf von 14 Tagen werden Ihre Dateien aus dem Online-Shop geloscht.
Um auf die Dateien zuzugreifen
1) Senden Sie Ihre ID an ghjujy@tuta.io
2) Bezahle 0,07 Bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) Nach der Bezahlung erhalten Sie Anweisungen, wie Sie Ihre Dateien zuruckholen konnen
deine ID [redacted IP]
---
Поздравляем!
Ваши файлы успешно перенесены в онлайн хранилище, где они будут хранится в течении 14 дней.
После истечении 14 дневного срока ваши файлы будут удалены с онлайн хранилеща.
Для получения доступа к файлам
1) Отправить свой ID на email ghjujy@tuta.io
2) Оплатить 0,07  bitcoin ====>> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) После оплаты вы получите инструкцию как получить свои файлы обратно
ваш ID  [redacted IP]



Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .cr
Составное расширение: .[Aeghie6u@secmail.pro].cr
Записка с требованием выкупа не найдена. 
Оригинальные файлы затерты нулями.

Обновление от 7 мая 2019:
Расширение (шаблон): .[<email_ransom>].CRYPT
Расширение: .[rekoh4th@secmail.pro].CRYPT
Email: rekoh4th@secmail.pro
Записка: !!!ПОМОЖЕМ_С_ФАЙЛАМИ_(rekoh4th@secmail.pro).txt
Текст отсутствует. Видимо, его там и не было. 

Оригинальные файлы затерты нулями.

Обновление от 31 мая 2019:
Топик на форуме>> 
Расширение: .[uroo7ohM@secmail.pro].val
Расширение (шаблон): .[<email_ransom>].val
Записка: отсутствует
Email: uroo7ohM@secmail.pro
Оригинальные файлы затерты нулями.

Обновление от 10 августа 2019:
Топик на форуме >> 
Расширение: .[ivanmalahov@protonmail.com].Eivoh1na
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: ivanmalahov@protonmail.com
Оригинальные файлы затерты нулями.

Обновление от 26 октября 2019:
Топик на форуме >>
Расширение: .[ooosferaplus@protonmail.com].nae2iNg6
Записка: отсутствует
Email: ooosferaplus@protonmail.com
Оригинальные файлы затерты нулями.

Обновление от 25 ноября 2019:
Топик на форуме >> 
Расширение: .[rusoftfond@protonmail.com].Aebaih6i
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: rusoftfond@protonmail.com
Оригинальные файлы затерты нулями. 

Обновление от 20 января 2020:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .[andrey.taranov@protonmail.com].Iexei8bo
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: andrey.taranov@protonmail.com
Оригинальные файлы затерты нулями.

Обновление от 1 апреля 2020:
Топик на форуме >>
Топик на форуме >>
Топик на форуме >>
Расширение (пример): .[g.kulahmet@protonmail.com].Ith2eelu
Расширение (шаблон): .[<email_ransom>].<random>
Примеры фейк-зашифрованных файлов с random-расширениями: 
1Cv8.dt.[g.kulahmet@protonmail.com].Ith2eelu
1Cv8.dt.[g.kulahmet@protonmail.com].UwajooB0
1Cv8.dt.[g.kulahmet@protonmail.com].uB4Yiela
Оригинальные файлы затерты нулями.
Email: g.kulahmet@secmail.pro, g.kulahmet@protonmail.com
Записки: !!!ПРОЧИТАТЬ!!!.txt и README.txt
➤ Содержание записок:
Revert files. Write to
Для получения доступа к файлам пишите на 
g.kulahmet@secmail.pro    g.kulahmet@protonmail.com


Обновление от 20 июля 2020:
Пост в Твиттере >>
Расширение-1: .[soft.russian@protonmail.com].mechu4Po
Расширение-2: .[soft.russian@protonmail.com].Ieph0uxo
Расширение (шаблон): .[<email_ransom>].<random>
Записки: !!!ПРОЧИТАТЬ!!!.txt и README.txt
Email: soft.russian@protonmail.com
Оригинальные файлы затерты нулями.
➤ Содержание записок:
Revert files. Write to
Для получения доступа к файлам пишите на 
soft.russian@secmail.pro    soft.russian@protonmail.com


*** пропущенные варианты ***


Обновление от 17 сентября 2020:
Расширение: .[mishacat@cock.li].uiMosh0i
Email: mishacat@cock.li, mishacat@secmail.pro
Записки: ВЕРНУТЬ ВАШИ ФАЙЛЫ.txt 
RECOVER YOUR FILES.txt 
➤ Содержание записок одинаково: 
Все ваши файлы были зашифрованы () из-за проблем с безопасностью вашего ПК. 
Если вы хотите восстановить их, напишите нам письмо и 
прикрепите один из зашифрованных файлов (до 1 МБ): mishacat@secmail.pro
или отправьте сообщение на нашу почту: mishacat@cock.li 
# ВНИМАНИЕ !!!
НЕ ПЕРЕИМЕНОВАТЬ И НЕ ПЕРЕМИЩАТЬ ФАЙЛЫ. 


Обновление от 22 октября 2020 или раньше:
Расширение (шаблон): .[bichkova@cock.li].<random{8}>
Расширения (примеры): 
.[bichkova@cock.li].Uu7Iexi8
.[bichkova@cock.li].Phoh4ing
Записки: ВЕРНУТЬ ВАШИ ФАЙЛЫ.txt
RECOVER YOUR FILES.txt
Email: bichkova@cock.li, bichkova@secmail.pro
 Содержание записки:
Все ваши файлы были зашифрованы () из-за проблем с безопасностью вашего ПК. 
Если вы хотите восстановить их, напишите нам письмо и прикрепите один из зашифрованных файлов (до 1 МБ): bichkova@secmail.pro и отправьте сообщение на нашу почту: bichkova@cock.li 



Вариант от 20 декабря: 
Расширение: .[vankosa@rape.lol].wu4vae1I
Записка HTA: RECOVERY.hta - заголовок в коде RussiaLock
Записка TXT: RECOVERY.txt - текст на русском языке. 
Email: vankosa@secmail.pro, vankosa@rape.lol



 Содержание HTA-записки: 
ВНИМАНИЕ
Ваши файлы зашифрованы... Ваши файлы зашифрованы
Выши ключи удалятся через!!!Нужен доступ к файлам? Пишите на почту: vankosa@secmail.pro 
Ваш ID [KLK6253SD-J7d8233] [copy] 
Пишите на vankosa@rape.lol [copy] 
---
 Содержание TXT-записки: 
Пишите на почту vankosa@secmail.pro  
Пришлите зашифрованый файл до 1мб на почту vankosa@rape.lol
---
Поврежденные файлы двух типов:
Договор1.jpg - файл нулевого размера (0 Kb), затертый;
Договор1.jpg.[vankosa@rape.lol].wu4vae1I - файл с неким размером, но забитый нулями.




Вариант от 12 февраля 2021:
Расширение: .[rahidproject@secmail.pro].Ox6ne
Email: rahidproject@cock.li, rahidproject@secmail.pro
Записка: RECOVERY.hta  - заголовок в коде MarsCRYPT


 Содержание записки: 
Your files have been encrypted... Price is raised!
Last chance to decrypt your files!Last chance to decrypt your files!
Decrypt files? Write to this 
mails: rahidproject@cock.li or rahidproject@secmail.pro
You unique ID [jeiloapaeNga9ieGhahng7yuc] [copy] 
Write to rahidproject@cock.li [copy]
---
logo-1.png - файл нулевого размера (0 Kb), затертый;
logo-1.png.[rahidproject@secmail.pro].Ox6ne - файл с неким размером, но забитый нулями.



Вариант от 28 марта 2021: 
Расширение: .[sportdieago@cock.li].Aht8u
Записка: RECOVERY.txt
Email: sportdieago@cock.li, sportdieago@secmail.pro


Вариант от 7 апреля 2021:
Расширение: .[padredelicato@secmail.pro].aeQu2
Записки: RECOVERY.txt, RECOVERY.hta
Email: padredelicato@secmail.pro, padredelicato@cock.li




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as 0kilobypt, added on March 14, 2019)
 Write-up, Topic of Support
 * 
 Thanks: 
 to the victims who sent the samples
 Andrew Ivanov (article author), Alex Svirid
 Michael Gillespie, Emmanuel_ADC-Soft
 ***
 

© Amigo-A (Andrew Ivanov): All blog articles.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *