четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware 

(шифровальщик-вымогатель, семейство)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, использует ранее известное индийское слово и понятие. 


Dharma
Это изображение Дхарма только логотип статьи и не принадлежит шифровальщику

© Генеалогия: CrySiS > Dharma

К зашифрованным файлам добавляется расширение .dharma, но не напрямую, а по шаблону .[email_for_ransom].dharma
Оригинальное имя файла не изменяется. 
Также используется маркер файлов от Crysis. 

Примеры:
original_filename.[bitcoin143@india.com].dharma
original_filename.[worm01@india.com].dharma
original_filename.[pay4help@india.com].dharma

Известные на данный момент расширения по шаблону .[email_for_ransom].dharma
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt - текстовая записка 
README.jpg - скринлок на обои рабочего стола

Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент твоя система не защищена.
Мы можем это исправить и восстановить файлы.
Для восстановления системы напиши на этот адрес:
bitcoin143@india.com

Файлы, зашифрованные Dharma, содержат специальный маркер файлов.
Например, у варианта с расширением .[worm01@india.com].dharma - это маркер WORM06. У другим может быть другой. 
Пример маркера WORM06



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений и компонентов легитимных программ, в том числе якобы от Microsoft, Adobe и пр., перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога


!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

После шифрования теневые копии файлов удаляются командой:
 vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.acrodata, .au3, .bak, .bat, .bin, .bmp, .chm, .dat, .db, .def, .dic, .dll, .doc, .docx, .dot, .dotm, .dotx, .dtd, .e2x, .exe, .flt, .gif, .h, .hpp, .htm, .html, .htt, .hxh, .hxl, .hxn, .hxw, .ico, .idl, .ini, .ion, .jpg, .js, .json, .jsx, .lck, .lib, .lic, .lnk, .log, .mk, .msp, .pl, .pm, .png, .pod, .ppt, .pptx, .py, .pyc, .rar, .rdf, .rtf, .sam, .scf, .sfx, .sig, .sqlite, .sst, .tcc, .tmp, .txt, .wav, .wb2, .wma, .wmdb, .wpd, .wpg, .wpl, .xa, .xbn, .xls, .xlsx, .xml, .xss, .zip … (80 расширений) и другие. 
Документы, базы данных, PDF, фотографии, музыка, видео, архивы, общие сетевые папки и пр. Шифруются также файлы без расширений. 

Файлы, связанные с Dharma Ransomware:
filename.exe, <random_name>.exe - специальное или случайное имя файла
Skanda.exe - вариант имени exe-файла вымогателя
worm.exe - вариант имени exe-файла вымогателя
adobe.exe - вариант имени exe-файла вымогателя
README.txt - ранний вариант записки о выкупе
FILES ENCRYPTED.txt - последующий вариант записки о выкупе
Info.hta - специальная записка о выкупе в формате веб-приложения*

*| Для запуска HTA предназначена программа mshta.exe, которая использует недокументированную функцию RunHTMLApplication из библиотеки mshtml.dll. По умолчанию в системных настройках mshta.exe сопоставлена расширению .hta, потому для того, чтобы файл с HTML-документом открылся как HTA, его нужно сохранить с этим расширением.

Расположения:
%UserProfile%\AppData\Roaming\<random_name>.exe
C:\DOCUME~1\User\LOCALS~1\Temp\worm.exe
C:\WINDOWS\System32\worm.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\worm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name>.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Ripoff.Acm
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qiblas.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp\System.dll

Записи реестра, связанные с Dharma Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "%UserProfile%\AppData\Roaming\Info.hta""  = mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "C:\Windows\System32\Info.hta"" = "mshta.exe "C:\Windows\System32\Info.hta""
См. также ниже результаты анализов.

Сетевые подключения:
Список emai, известных у Dharma Ransomware с расширением .wallet:
3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek@india.com
dderek416@gmail.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com - маркер файлов: 101KPR
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com - маркер файлов: 127AMA
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
space_rangers@aol.com
spacelocker@post.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
war_lost@aol.com
warlokold@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление из видео-обзора от GrujaRS

Скринлок, встающий обоями рабочего стола обзавелся индийским стилем. Первая фраза в особенности. 
Содержание текста с обоев:
hello my friend
ALL YOUR DATA IS ENCRYPTED
to get your data back and
protect your system, write:
worm01@india.com

Обновление от 28 ноября: Email: worm01@india.com
Расширение: .dharma
Составное расширение: .[worm01@india.com].dharma
Записка: HOW TO DECRYPT YOUR DATA.txt
Содержание записки: 
to decrypt the data write on mail worm01@india.com
Результаты анализов: HA+VT

Обновление от 28 ноября 2016:
Расширение: .dharma 
Составное расширение: .[tombit@india.com].dharma
Email: tombit@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:

Пост в Твиттере >>
Новое расширение: .wallet
Составное расширение: .[lavandos@dr.com].wallet
Email: lavandos@dr.com,  lavandos@india.com
Результаты анализов: VTVT
<< Изображение на обои
*




Обновление от 29 ноября 2016:
Новое расширение: .wallet
Составное расширение: .[amagnus@india.com].wallet
Email: amagnus@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:
Пост в Твиттере >>
Новое расширение: .zzzzz
Составное расширение: .[amagnus@india.com].zzzzz

Обновление от 5 декабря 2016:
Новое расширение: .xtbl
Составное расширение: .[mkgoro@india.com].xtbl

Обновление от 13 декабря 2016:
Расширение: .wallet
Email: stopper@india.com
Результаты анализов: VT

Обновление от 18 декабря 2016:
Расширение: .wallet
Email: support_files@india.com
Результаты анализов: VT

Обновление от 26 декабря 2016:
Расширение: .wallet
Email: mksubzero@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .wallet
Составное расширение: .[Mkliukang@india.com].wallet
Email: Mkliukang@india.com

Обновление от 29 декабря 2016:
Пост в Твиттере >>
Записка: Info.hta
Email: mkgoro@india.com
*
*
*







=== 2017 ===

Обновление от 12 января 2017:
Расширение: .wallet
Составное расширение: .[supermagnet@india.com].wallet
Email: supermagnet@india.com

Обновление от 13 января 2017:
Расширение: .wallet
Составное расширение: .[webmafia@asia.com].wallet
Email: webmafia@asia.com
Результаты анализов: VT

Обновления февраля 2017:
Расширение: .wallet
Составное расширение: .[legionfromheaven@india.com].wallet
Email: legionfromheaven@india.com
---
Расширение: .wallet
Составное расширение: .[mission_inposible@aol.com].wallet 
Email: mission_inposible@aol.com
---
Расширения: .viper1 и .viper2
Составные расширения: .[wisperado@india.com].viper1 и .[wisperado@india.com].viper2 
Email: wisperado@india.com

Обновления от 9 марта 2017:
Email: mk.goro@aol.com
Расширение: .wallet
Составное расширение: .[mk.goro@aol.com].wallet

Обновления от 27 марта 2017:
Расширение: .wallet
Составное расширение: .[crannbest@foxmail.com].wallet
Email: crannbest@foxmail.com

Обновление от 7 апреля 2017:
Расширение: .wallet
Составное расширение: .[mk.kitana@aol.com].wallet
Email: mk.kitana@aol.com
Пример файла: Audit letter - XXXXX.doc.id.-XXXXX.[mk.kitana@aol.net]

Обновление от 14 апреля 2017:
Пост в Твиттере >>
Идентификация в ID Ransomware: Dharma (.onion)
Расширение: .onion
Шаблон: config.sys.id -66813FE4.[felix_dies@aol.com].onion

Обновление от 22 апреля 2017:
Расширение: .wallet
Составное расширение: .id-<id>.[mk.sektor@aol.com].wallet
Email: mk.sektor@aol.com
Результаты анализов: VT

Обновление от 4 мая 2017:
Файлы: mandanos.exe и Info.hta
Расположения: 
"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
%WINDIR%\System32\mandanos.exe
C:\crysis\Release\PDB\payload.pdb
Email: mandanos@foxmail.com
Расширение: .wallet
Составное расширение: .[mandanos@foxmail.com].wallet
Примеры зашифрованных файлов:
<file_name>.id-C3B22A85.[mandanos@foxmail.com].wallet
6DF4C247EB188DBE3AA7FEFB8B83F5C21339C17F.id-C3B22A85.[mandanos@foxmail.com].wallet
Удаление теневых копий файлов: 
vssadmin delete shadows /all /quiet
Результаты анализов: HA+VT

Обновление от 14 августа 2017:
Пост в Твиттере >>
Группа: Dharma-Cezar (.cezar)
Расширение на конце заш-файлов: .cezar
Составное расширение: .[sindragosa@bigmir.net].cesar

Обновление от 17 августа 2017:
Расширение на конце заш-файлов: .cezar
Составное расширение: .[black.mirror@qq.com].cesar 

Обновление от 23 августа 2017:
Пост в Твиттере >>
Расширение: .arena 
Составное расширение: bg.3pg.id-04C9470B.[sindragosa@bigmir.net].arena
Предыдущее расширение: .cezar
Записка: FILES ENCRYPTED.txt
Содержание:
all your data has been locked us
You want to return?
write email sindragosa@bigmir.net

Обновление от 25 августа 2017:
Исполняемый файлы типа: 
MSHTA.EXE-A970B441 
MSHTA.EXE-A732B422
Расширение: .arena 
Шаблон расширения заш-файлов: .id-<id>.[email].arena, среди них известны: 
.id-<id>.[chivas@aolonline.top].arena
.id-<id>.[m.heisenberg@aol.com].arena
Маркер файлов: H5KF8E
Записки: FILES ENCRYPTED.txt и info.hta
Содержание txt-записки см. выше (23 августа) с новым email
<< Содержание hta-записки
Email: chivas@aolonline.top
m.heisenberg@aol.com
Результаты анализов: HA+VT
Write-up on BC >>


Обновление от 12 сентября 2017:
Расширение: .arena 
Составное расширение: .[suppyes@cock.li].arena
Email: suppyes@cock.li

Обновление от 29 сентября 2017:
Группа: Dharma-Cezar (.cezar)
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Составное расширение: .id-48B2B43F.[chivas@aolonline.top].cesar
Email: chivas@aolonline.top

Обновление от 11 октября 2017:Расширение: .arena 
Составное расширение: .id-AE16E5FE.[luckyman@cock.li].arena
Email: luckyman@cock.li и realluckyman@bigmir.net
Пример темы на форуме >>
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email luckyman@cock.li or realluckyman@bigmir.net

Обновление от 11 октября 2017:Расширение: .cesar
Составное расширение: .id-<id>.[decrypt2010btc@cock.li].cesar
Email: decrypt2010btc@cock.li и bestbitforch@airmail.cc
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email decrypt2010btc@cock.li or bestbitforch@airmail.cc

Обновление от 18 и 24 октября 2017:
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Примеры составных расширений: 
.id-84D098AE.[Gladius_adeptus@aol.com].cesar
.id-94BF6034.[Oleander_mortis@aol.com].cesar
Email: Gladius_adeptus@aol.com и Oleander_mortis@aol.com


Обновление от 30 октября 2017:
Пост в Твиттере >>
Расширение: .arena 
Составное расширение: .id-ECA2BBC2.[batmanbitka1@cock.li].arena
Email: batmanbitkal@cock.li и batmanbitkal@tutanota.com
Записка: FILES ENCRYPTED.txt
Видеообзор от GrujaRS >>


 


Обновление от 2 ноября 2017:
Расширение: .arena 
Составное расширение: .id-49509AB8.[support@decrypt.ws].arena
Email: support@decrypt.ws
Тема на форуме >>
Домен decrypt.ws - это не публичная email-служба, как можно подумать. Этоn домен сейчас прикреплен к Hostland.ru, но зарегистрирован в Германии (телефонный код +49). Ранее домен decrypt.ws засветился всвязи с деятельностью криптовымогателя Paradise Ransomware

Обновления октября-ноября 2017:
Email: instertcoin@usa.com
emailme@italymail.com
horaceingram@mail.com

Обновление от 6 ноября 2017:
Расширение: .arena 
Составное расширение: .id-6889E5E1.[mikecoins@qq.com].arena
Email: mikecoins@qq.com и dd@airmail.cc
Сумма выкупа: 0.73 BTC
Результаты анализов: VT
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email mikecoins@qq.com or dd@airmail.cc

Обновление от 6 ноября 2017:

Расширение: .arena
Составное расширение: .id-C4BA3647.[trump123@cock.li]
.arena
Маркер файла: D49F0C
Email: trump123@cock.li и trump123@tutanova.com
Результаты анализов: HA + AnyRun




Обновление от 7 ноября 2017:
Расширение: .arena
Составное расширение: .id-<id>.[VanDamme@aolonline.top].arena

Обновление от 7 ноября 2017:
Пост в Твиттере >>
Подробная статья на BC >> (добавлена позже)
Расширение: .cobra
Составное расширение: .id-E229B4BF.[cranbery@colorendgrace.com].cobra
Шаблон составного расширения: .id-<id>.[email_ransom].cobra
Пример зашифрованного файла: Document Word.doc.id-E229B4BF.[cranbery@colorendgrace.com].cobra
Email: cranbery@colorendgrace.com
Записки: Files encrypted!!.txt и info.hta
Идентификация: ID под Dharma (.cezar)
Результаты анализов: VT
Скриншоты записок. 

Обновление от 20 ноября 2017:
Пост в Твиттере >>
Расширение: .java
Примеры заш-файлов:
malu.jpg.id-FA330904.[sm@uwmanage.com].java
hant.lnk.id-7E177353.[1778357646@qq.cam].java
Email: sm@uwmanage.com и 1778357646@qq.cam

Обновление от 28 ноября 2017:
Расширение: .java
Пример заш-файла:
document.id-A0AED89E.decrypex@tuta.io
Записка: FILES ENCRYPTED.txt.java
Email: decrypex@tuta.io
Топик на форуме >>

Обновление от 3 декабря 2017:
Пост в Твиттере >>
Расширение: .java
Шаблон расширения: .id-<id>.{<email>}.java
Теперь используются фигурные скобки. 
Email: faremar@cock.li
Файл: payload_56TGSS.exe
Результаты анализов: VT
<< Примеры заш-файлов 


Обновление от 9 декабря 2017:
Расширение: .java
Пример расширения: .id-1C56D44A.[Workup@india.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: workup@india.com
BTC-кошелёк: 1Ho5H5hsUSytJKHhCoSUBE1QztCCsEDsFq
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email Workup@india.com
Атакует серверы, базы данных 1С и блокирует работу приложений. 
Тема на форуме >>


Обновление от 22 декабря 2017:
Расширение: .java
Пример расширения: .id-1201A1A8.[bacon@oddwallps.com].java
Email: bacon@oddwallps.com

Тема на форуме >>


Обновление от 28 декабря 2017:
Расширение: .java
Пример расширения: .id-8463DA9B.[darkfuture@cock.li].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: darkfuture@cock.li
Тема на форуме >>

=== 2018 ===

Обновление от 3 января 2018:
Расширение / Extension: .java
Пример расширения: .id-B252B84D.[stopstorage@qq.com].java 
Записки: FILES ENCRYPTED.txt и Info.hta
Email: stopstorage@qq.com

Обновление от 5 января 2018:
Расширение / Extension: .java
Пример расширения: .id-E8F4FE5C.[decrypthelp@qq.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: decrypthelp@qq.com и decrypthelp2@qq.com
Файл: 1taskhoste.exe
Результаты анализов: HAVT + HA + VT
<< Скриншот части записки Info.hta
*
Расположения HTA-записок:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta


Обновление от 8 января 2018:

Расширение: .java
Расширение / Extension: .id-B8F053EC.[sabantui@tutanota.com].java
Email: sabantui@tutanota.com и udacha@cock.li
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email sabantui@tutanota.com or udacha@cock.li
Содержание записки Info.hta: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sabantui@tutanota.com
Write this ID in the title of your message B8F053EC
In case of no answer in 24 hours write us to theese e-mails:udacha@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Обновление от 18 января 2018:
Расширение / Extension: .java
Составное расширение: .id-12AB34CD.[habibi.habibi3@aol.com].java
Email: habibi.habibi3@aol.com

Обновление от 28 января 2018:
Расширение / Extension: .java
Cоставное расширение: .id-34C25A5F.[ricky.martirosyan@aol.com].java
Email: ricky.martirosyan@aol.com


Обновление от 25 января 2018:
Пост в Твиттере >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .write
Составное расширение: .id-6243554F.[fiies.re3rore@aol.com].write
Email: fiies.re3rore@aol.com

Обновление 6 февраля:
Расширение / Extension: .java
Составное расширение: .id-18B6F9CC.[alpha2018a@aol.com].java
Email: alpha2018a@aol.com

Обновление 7 февраля:
Расширение / Extension: .java
Составное расширение: .id-15C9D8B8.[godfather_btc@aol.com].java
Email: godfather_btc@aol.com

Обновление 8 февраля:
Расширение / Extension: .java
Email: info@witchevil.tk

Обновление 14 февраля:
Расширение / Extension: .java
Составное расширение: .id-xxxxxxxx.[zeus.throne@aol.com].java
Email: zeus.throne@aol.com
BTC: 17x1KppxW7TnTdN9oYFaNwmMF2vTxxz2dn

Обновление от 19 февраля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-626A7656.[kisamurusa@tutanota.com].java 
Email: kisamurusa@tutanota.com

---
Составное расширение (пример): .id-98895155.[debugs@protonmail.com].java
Email: debugs@protonmail.com


Обновление от 20 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): .id-724B6679.[GuardBTC@cock.li].java
Email: GuardBTC@cock.li
Топик на форуме >>

Обновление от 28 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): .id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
Email: Vegas_MOZ6@protonmail.com
Топик на форуме >>

Обновление от 1 марта 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример):  id-1C16A3D5.[paymenttoday@firemail.cc].java
Email: paymenttoday@firemail.cc
Топик на форуме >>


Обновление от 1 марта 2018:
Пост в Твиттере >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .arrow
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].arrow
Составное расширение (пример): .id-62A1C276.[bitcoin888@cock.li].arrow
Составное расширение (пример): .id-1E86285C.[Blammo@cock.li].arrow
Составное расширение (пример): .id-2A65682G.[marat20@cock.li].arrow
Email: bitcoin888@cock.li
Blammo@cock.li
marat20@cock.li
Топик на форуме >>

Обновление от 13 марта 2018:
Пост в Твиттере >>
🎥 Видеообзор  >>
Расширение: .java
Пример составного расширения: .id-C4945C9F.[bacon@oddwallps.com].java
Записка: FILES ENCRYPTED.txt 
Email: bacon@oddwallps.com
pepsi666@protonmail.com
Результаты анализов: HAVT
Скриншот записки с exe-файлом на Рабочем столе. 



Обновление от 30 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): ..id-3C5235A0.[filebackup999@cock.li].java
Email: filebackup999@cock.li
Топик на форуме >>
Топик на форуме >>


Обновление от 31 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Пример зашифрованного файла: Module.rtm.id-3AAxxxxx.[Recoverys2018@cock.li].java
Email: Recoverys2018@cock.li
Пост на форуме >>


Обновление от 2 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-E4B7FBD4.[ventablack@tutanota.de].arrow
Email: ventablack@tutanota.de
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-881525EC.[restorehelp.@qqmail.com].java
Email: restorehelp.@qqmail.com
Топик на форуме >>

Обновление от 3 апреля 2018:

Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[deblans@protonmail.com].arrow
Email: deblans@protonmail.com
Записка: Info.hta
Файл: 1U9C8B9.exe
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-36BA5732.[letmehelpyou@cock.li].arrow
Email: letmehelpyou@cock.li
Топик на форуме >>

Обновление от 4 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-1DC5A473.[Filecode99@cock.li].arrow
Email: filecode99@cock.li
Файлы: W96R2C_payload.exe
Топик на форуме >>

Обновление от 5 апреля 2018:
Расширение / Extension: .arrow
Email: amaya_payne2@aol.com, nikki.lond2@aol.com
Результаты анализов: VT

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-2EC1CB52.[filebackup999@cock.li].java
Записка: FILES ENCRYPTED.txt 

Email: filebackup999@cock.li
Топик на форуме >>

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-94BC3565.[biglocker@airmail.cc].java
Записка: FILES ENCRYPTED.txt 
Email: biglocker@airmail.cc
Пост  на форуме >>


Обновление от 11 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-62F6E0C5.[return.data@qq.com].arrow
Записка: Info.hta
Email: return.data@qq.com
BTC: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
Файл: Explorer.exe
Топик на форуме >>
Содержание записки о выкупе Info.hta:
Your files have been encrypted because you care badly about your security system.
We do not deliberately hacked you, it was an accident.
We can and we will help you if you accept our offer.
We always keep our promises.
You must make payment in BITCOINS to our adress.
After payment we will send to you detailed instructions and personal decoder for your infected device.
Also we will give you tips for improve your security.
Please make your decision as soon as possible! Otherwise, the price can change!
The price is 0,7 BTC. 
our wallet is: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
If you plan to get your data back, please write to us that you have read our terms.
Also you can make free test decryption. Conditions for test decryption:
1) You can send FEW files for test decrypting. Maximum files for test is 3.
2) Put your files in one archive, and upload your files here: dropfile.to and send to us link.
3) We don't decrypt ".exe" files, archives, databases, and backups for test(read: for free). 
You can send another files like jpg pdf xls doc and other. 
4) Files should not have the same extensions. One extesion - one file.
5) Total max size of test files is 5 mb(non-archived)!
6) If you will send to us test files it's mean that you completely agree with our proposal for decryption.

Обновление от 14 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-D86B1905.[gettkey@qq.com].java
Email: gettkey@qq.com и xtrachance@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta
Содержание записки о выкупе FILES ENCRYPTED.txt :
all your data has been locked us
You want to return?
write email gettkey@qq.com or xtrachance@qq.com
Скриншоты записок Info.hta и FILES ENCRYPTED.txt 






Обновление от 16 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-2C21Bxxx.[keygena@aol.com].arrow
Записка: Info.hta
Email: keygena@aol.com



Обновление от 20 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-8881Exxx.[becky.cely2@aol.com].arrow
Email: becky.cely2@aol.com

Обновление от 26 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[mindysnell2@aol.com].arrow
Email: mindysnell2@aol.com

Обновление от 3 мая 2018:
Расширение / Extension: .java
Составное расширение (пример): id-BEA67A84.[restorehelp@qq.com].java
Email: restorehelp@qq.com
Топик на форуме >>

Обновление от 14 мая 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-xxxxxxxx.[decrypthelp@qq.com].arrow
Email: Decrypthelp@qq.com


Обновление от 15 мая 2018:
Пост в Твиттере >> 
Статья на BC >>
Группа: Dharma-Cezar (.cezar)
Расширение: .bip
Составное расширение: .[restoresales@airmail.cc].bip
Составное расширение: .[beamsell@qq.com].bip
Email-1: restoresales@airmail.cc
Email-2: beamsell@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta  


Содержание файла INFO.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Beamsell@qq.com
Write this ID in the title of your message BCBEF350
In case of no answer in 24 hours write us to theese e-mails:Beamsell@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
➤ Содержание файла FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Beamsell@qq.com
Результаты анализов: VT + VT + VT

Обновление от 16 мая 2018:
Расширение: .bip
Составное расширение: .id-3CFEE1F7.[298347823@tuta.io].bip
Email: 298347823@tuta.io
Файл: DHL.exe
Записка: Info.hta

Обновление от 20 мая 2018:
Расширение: .bip
Email: luxenburg@tutanota.com

londonlondon@cock.li

Обновление от 24 мая 2018:
Расширение / Extension: .java
Составное расширение: .[decodingfiles@airmail.cc].java
Email: decodingfiles@airmail.cc
BTC: 15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Содержание записки о выкупе:
Decoding Files 0.3 BTC
translation at the expense of Bitcoin
15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program
Топик на форуме >>

Обновление от 26 мая 2018:
Пост в Твиттере >>
Расширение: .arrow
Составное расширение: .[java2018@tuta.io].arrow
Email-1: java2018@tuta.io
Email-2: java2018@india.com
Записка: Info.hta
Файлы: withlove.exe, mode.com
Результаты анализов: HA + VT
🎥 Видеообзор >>


Обновление от 28 мая 2018:
Расширение: .bip
Составное расширение: .id-0021B708.[return24data@cock.li].bip
Email: return24data@cock.li
Файл: DHL.exe или другой
Записка: Info.hta
Пост на форуме >>

Обновление от 6 июня 2018: 
Расширение: .arrow
Составное расширение: .id-0021B708.[helprestore@cock.li].arrow
Email: helprestore@cock.li
Пост на форуме >>

Обновление от 11 июня 2018:
Расширение: .arrow
Составное расширение: .id-9ACE3897.[simple_decrypt@qq.com].arrow
Email: simple_decrypt@qq.com
Записки: как прежде
➤ Ответ вымогателей в письме: 
1. Calculation of decoding cost
The cost of decryption for you is "0.6"  bitcoin. (Bitcoin is a form of digital currency)
0.6 bitcoin it`s a fixed cost for first key. 
Every next keys cost 0.05 bitcoin
All externall drives (USB or NAS or another) it`s different keys.
One key can decrypt 1 computer or server.
If you have NAS it`s another 1 key.
If you have USB it`s another 1 key.
Any EXTERNAL DRIVES (USB or NAS or another) it`s another 1 key.
Examples: If you have 1 server. 1 computer with many local disk. 1 Nas and 1 USB. It`s 4 keys.
Total price: 0.6+0.05+0.05+0.05 = .75 bitcoins.
2. Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
3. Free decryption as guarantee
You can send us up to 3 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1EGB5Qqa1Z6LT8LriPY4YQamPGzEwLFxgN". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 



Обновление от 12 июня 2018:
Расширение: .bip
Составное расширение: .[avarufilturner@aol.com].bip
Email: avarufilturner@aol.com
Записка: Info.hta
Пост на форуме >>

Обновление от 25 июня 2018:
Расширение: .bip
Составное расширение: .id-F25E5DE4.[Worldcry@cock.li].bip
Email: Worldcry@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Worldcry@cock.li
Записка: Info.hta
➤ Содержание Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li
Write this ID in the title of your message F25E5DE4
In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: 
https://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Пост на форуме >>

Обновление от 26 июня 2018:
Расширение: .bip
Составное расширение:.id-xxxxxxxx.[ballabor7@aol.com].bip
Email: ballabor7@aol.com, ballb535@aol.com
Записка: FILES ENCRYPTED.txt 
 Содержание записки: 
all your data has been locked us
You want to return?
write email ballabor7@aol.com or ballb535@aol.com
Пост на форуме >>

Обновление от 3 июля 2018:
Расширение: .arrow
Составное расширение: .id-xxxxxxxx.[quickunlocker@india.com].arrow
Записка: FILES ENCRYPTED.txt 
Email: quickunlocker@india.com

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-04A6A938.[avarufilturner@aol.com].bip
Записка: FILES ENCRYPTED.txt 
Email: avarufilturner@aol.com

Обновление от 5 июля 2018:
Расширение: .java
Составное расширение: .id-C0F8EC7D.[GeorgeWashington@cock.li].java
Записка: FILES ENCRYPTED.txt 
Email: GeorgeWashington@cock.li
Топик на форуме >>

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[buydecrypt@qq.com].bip
Записка: FILES ENCRYPTED.txt 
Email: buydecrypt@qq.com

Обновление от 10 июля 2018:
Расширение: неизвестно
Email: master888@tutanova.com

Обновление от 16 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[zara2018@cock.li].bip
Email: zara2018@cock.li

Обновление от 19 июля 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[Eterniity@qq.com].bip
Email: Eterniity@qq.com
Пост на форуме >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Topic on DC, Video review
 ID Ransomware (ID as Dharma: .dharma, .wallet, .onion, .cezar)
 Write-up on BC, Write-up on BC (add. May 18, 2017)
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 R0bert R0senb0rg, Jakub Kroustek
 Alex Svirid
 GrujaRS
 ...и другим, кто дополняет информацию.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton