Al-Namrood Ransomware
Al-Namrood 2.0 Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. Сумма выкупа: 1-10 BTC.
Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.
© Генеалогия: Apocalypse > Al-Namrood
К зашифрованным файлам добавляются расширения .unavailable или .disappeared.
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016.
Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt
Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.
Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите.
Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком.
Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe
Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru
Степень распространённости: средняя.
Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление. Al-Namrood 2.0Файлы имеют случайное расширение по шаблону
.<id-number>.<email>.<9/10_lower_alphabetic_characters>
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей:
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина
Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Файлы имеют случайное расширение по шаблону
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:
Обновление от 2 ноября 2016. Al-Namrood 2.0:
Расширение: .not_available
Тема на форуме >>
Обновление от 20 ноября 2016. Al-Namrood 2.0:
Расширение: .NOT_AVAILABLE
Обновление от 24 ноября 2016. Al-Namrood 2.0:
Расширение: .ciphered
Email: kevinrobinson@inbox.ru
➤ Содержание записки о выкупе:
Hello. Bad news!
All your files was encrypted with strong algorithm AES256 and unique key.
To recover all files you need to get special decryption software and personal key.
You can contact me via email: kevinrobinson@inbox.ru
You can contact me via email: kevinrobinson@inbox.ru
Your ID: 958A6CA2GB
Please use public mail service like gmail or yahoo to contact me, because your messages can be not delivered.
You have a 72 hours to contact me, otherwise recovering may be harder for you.
Regards,
Kevin Robinson.
Обновление от 27 ноября 2016. Al-Namrood 2.0:
Топик на форуме >>
Расширение: .access_denied
Составное расширение: .ID-1A234567AU[decryptgroup@inbox.ru].access_denied
Email: decryptgroup@inbox.ru, decryptgroup@india.com
Jabber: decryptgroup@xmpp.jp
➤ Содержание записки о выкупе:
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and personal key.
You can contact us:
Primary Email: decryptgroup@inbox.ru
Reserve Email: decryptgroup@india.com
Your Personal ID: 1A234567AU
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write to us in Jabber: decryptgroup@xmpp.jp
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.
Обновление от 28 декабря 2016:
Пост на форуме >>
Пост на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Составное расширение: .ID-XXXXXXXXXX[cryptsvc@mail.ru].abcdefghijk
Записка: Infection.TXT
Jabber (It is not Email !!!): cryptsvc@securejabber.me
Email: cryptsvc@mail.ru
➤ Содержание записки о выкупе:
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
cryptsvc@mail.ru
Your Personal ID: ***
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.
Обновление от 28 марта 2017:
Топик на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Пример составного расширения: .ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Email: crypt32@mail.ru
Jabber: crypt32@jabber.ua
➤ Содержание записки о выкупе:
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
crypt32@mail.ru
Your Personal ID: ADC2B179SA
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): crypt32@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.
Пост на форуме >>
Вымогательский проект Al-Namrood был закрыт 09.05.2017
Для связи предлагались контакты:
Email: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Для более новых вариантов может не подойти.ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Read to links: Decrypter by Emsisoft.com ID Ransomware (ID as Al-Namrood) *
Thanks: Fabian Wosar Michael Gillespie quietman7
© Amigo-A (Andrew Ivanov): All blog articles.