пятница, 2 декабря 2016 г.

Matrix

Matrix Ransomware

Malta Ransomware


bluetablet9643 decodedecode restoreassistan12 pyongyangooi
relock001 datsun987 files4463 Yourencrypt RestoreFile oken
MTXLOCK CORE FOX KOK8 NEWRAR
(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью стандартной комбинации AES + RSA при использовании ПО для шифрования с открытым исходным кодом GNU Privacy Guard (GnuPG), а затем требует отправить на email вымогателей код ID, чтобы получить инструкции по уплате выкупа, чтобы вернуть файлы. Название получил от используемого логина email и добавляемого расширения. Оригинальное название: Malta (malta.exe). 

© Генеалогия: Matrix. Начало. 

К зашифрованным файлам добавляется расширение .matrix или .MATRIX

!!! В новых вариантах используются другие расширения и записки о выкупе. Смотрите раздел обновлений. 

Оригинальное имя файла изменяется, таким образом зашифрованный файл будет выглядеть как [random_name].id-[ ID_Encryption_Key].MATRIX
Например, 3T7irdExQcX.id-D31FE624BF22D8AF.MATRIX

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Причем русский текст в послании вымогателей стоит первым. 

Записки с требованием выкупа называются: MATRIX-README.RTF
Но к этому названию спереди добавляются ещё 5 цифр по шаблону: 
[5 numbers]-MATRIX-README.RTF

Содержание записки о выкупе:
Текст на русском (первая часть записки):
Внимание! Все Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
ID-E4ACADFF7C070445
на электронный адрес: matrix9643@yahoo.com
Далее в ответном письме вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 24 часов (и только в этом случае!), воспользуйтесь резервной почтой:
redtablet9643@yahoo.com

Текст на английском (вторая часть записки):
Attention! All your files was encrypted.
To decrypt the files, You have to should send the following code:
ID-E4ACADFF7C070445
to e-mail address: matrix9643@yahoo.com
Then You will recieve all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more thon 24 heurs (and only in this case!), use the reserve e-mail address:
redtablet9643@yahoo.com


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (RIG EK и EITest), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога


Matrix Ransomware устанавливается на компьютеры, работающие под управлением ОС Windows, с помощью наборов эксплойтов на сайтах, демонстрирующих вредоносную и обычную рекламу, которые нацелены на уязвимости в Internet Explorer (CVE-2016-0189) и Flash (CVE-2015-8651). Обе эти уязвимости нацелены на посетителей этих сайтов, использующих уже неподдерживаемые и устаревшие версии Internet Explorer и Flash Player. Чтобы заразиться, пользователю достаточно просто открыть такой сайт в своем браузере и эксплойт сработает в любом случае, доставив на уязвимый компьютер крипто-вымогатель. 

Внимание! В последующих версиях также активно распространяется путём взлома через незащищенную конфигурацию RDP. 

!!! Отключите RDP вообще. Раз и навсегда забудьте про него!!!
Даже если вы купите новый сервер и включите его, то вас сразу же взломают через RDP!!! 
Предупреждаю — сервер взломают СРАЗУ через RDP!!! 
Повторяю ещё раз — СРАЗУ ВЗЛОМАЮТ и зашифруют файлы!!!

➤ Шифровальщик Matrix создаёт поддельные системные процессы. После шифрования удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
malta.exe
<random>.exe
<random>.cmd
[5 numbers]-MATRIX-README.RTF
svchost.exe - переименованная утилита GnuPG (v.1.4.20), которой шифруются файлы
ZHjl3j.vbs - скрипт на удаление теневых копий файлов
Много дроппированных файлов: cmd, mth, vbs, tmp и пр.

Расположения:
C:\Users\%USERNAME%\AppData\Local\Temp\<random>.exe
%User_name%\AppData\Roaming\Microsoft\ZHjl3j.vbs
%APPDATA%\Vc27GDr3Cbpv\<random>.cmd
%TEMP%\<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\S-1-5-21-3521364462-1692195860-978169631-1001\Software\Microsoft\Windows\CurrentVersion\Run\ZHjl3j.vbs
См. также ниже результаты анализов. 

Сетевые подключения и связи:
matrix9643@yahoo.com
redtablet9643@yahoo.com
thematrixhasyou9643@yahoo.com
noliberty9643@yahoo.com
См. также ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Дополнение от MalwareHunterTeam.
Более ранний текст вымогателей на русском языке:
........................................................................................................

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Примечание:
В любых вариантах Матрицы используется приём, который был замечен и ранее, но сайты, специализирующиеся на исследовании вредоносных программ о нём молчат. 
Этот приём называется 'буквозамена'. При этом используются буквы, которые пишутся одинаково в английском и русском языках, и вставляются в слова текста о выкупе. В английский текст добавляются русские буквы. В русский текст добавляются английские буквы. 
Пользователи ПК могут читать этот текст почти без затруднений, а система проверки правописания будет подчеркивать неправильные буквы в этих словах. Если мы подредактируем такой текст, т.е. и вместо букв а, е, о, у и А, Е, О  подставим выглядевшие также английские буквы, то красное подчеркивание исчезнет. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 февраля 2017:
Пост в Твиттере >>
Файл: AAM Updates Notifier.exe
Фальш-имя: AAM Updates Notifier
Записка: Readme-Matrix.rtf
Email: bluetablet9643@yahoo.com и bluetablet9643@yandex.ru
Расширение: [A-F0-9]{16}.matrix
Результаты анализов: VT
<< Скриншот

Обновление от 2 апреля 2017:
Пост в Твиттере >>
Записка: WhatHappenedWithMyFiles.rtf
Email: bluetablet9643@yahoo.com и decodedecode@yandex.ru
Видеоролик от 14 марта 2017 >>
<< Скриншот





Обновление от 4 апреля 2017: 


Записка: Bl0cked-ReadMe.rtf
Расширение: .b10cked
Email: bluetablet9643@yahoo.com
decodedecode@yandex.ru
URL: ***statcs.s76.r53.com.ua (148.251.13.83, Германия)
Результаты анализов: HA+VT



Обновление от 7 апреля 2017: 


Пост в Твиттере >> 
Email: bluetablet9643@yahoo.com 
decodedecode@tutanota.com
*
*
*




Обновление от 10 июля 2017:
Записка: !WhatHappenedWithMyFiles!.rtf
Email: decodedecode@tutanota.com
restoreassistant@yandex.com
Результаты анализов: HA+VT
<< Скриншот записки и экрана с файлами записок


Обновление от 14 августа 2017:
Пост в Твиттере >>
Записка: !What-wrong-with-files!.rtf
Email: restoreassistant@yandex.com
restoreassistan12@tutanota.com
Результаты анализов: VT
<< Скриншот записки 






Обновление от 26-27 октября 2017:
Пост в Твиттере >>
Отдельная статья на английском >>
Расширение: .pyongyan001@yahoo.com
Записка: #_#WhatWrongWithMyFiles#_#.rtf
Email: pyongyangooi@yahoo.com и bl4ckdr4gon@tutanota.com
Результаты анализов: VT
Шифрование: RSA-2048




Обновление от 2-3 ноября 2017:
Пост в Твитттере >>
Расширение: _[RELOCK001@TUTA.IO]
Записка: !OoopsYourFilesLocked!.rtf
Email: relock001@tuta.io и relock001@yahoo.com
Файлы: get.phpyCZPw.exe, huG9mMCD.exe, w5JaoO.doc, B2OE.pdf, Kin7.jpg, caic.rar
Скриншоты с текстом и файлами.
Результаты анализов: HA+VT


Обновление от 22 ноября 2017:
Email: datsun987@tutanota.com и datsun987@yahoo.com
Записка: #What-Happened-With-Files#.rtf
Скриншот с текстом.
Тема на форуме >>


Обновление от 25 декабря 2017:

Пост в Твиттере >>
Записка: T0_Rec0ver_Files_ReadME.rtf
Email: Linersmik@naver.com
Jinnyg@tutanota.com
Loder903@yahoo.com
Особенности: 
Между именем файла и его расширением вставляется недорасширение: _[<email1>][<email2>]
После шифрования файл Photo001.jpg будет выглядеть так:
Photo001_[Linersmik@naver.com][Jinnyg@tutanota.com].jpg
Шаблон: <original filename>_[<email1>][<email2>].<original extension>

В тексте записки используется буквозамена английских букв на русские:
У, у вместо Y, y. Буквы: а,е,о вместо a,e,o. Хотят обмануть Антиспам. 

Содержание записки:
Аll thе imроrtаnt dаtа оn this cоmрutеr wаs еnсrурtеd!
Уоu will nоt bе аblе tо ассеss уоur filеs until thеу аrе dесrуptеd! Withоut уоur pеrsоnаl kеy аnd sреciаl sоftwаrе dаtа rеcоvеrу is impоssiblе! If yоu will fоllоw оur instruсtiоns, wе guаrаntее thаt yоu cаn dесryрt аll yоur filеs quiсkly аnd sаfеly!
Wаnt tо rеcоvеr yоur filеs? Writе us tо thе е-mаils:
Linersmik@naver.com
Jinnyg@tutanota.com
Loder903@yahoo.com
In subjеct linе оf your mеssаgе writе yоur pеrsоnаl ID:
37-52AEFDF5DE993152
Wе rесоmmеnd yоu tо sеnd yоur mеssаgе ОN ЕАСH оf ОUR 3 ЕМАILS, duе tо thе fасt thаt thе mеssаgе mау nоt rеаch thеir intеndеd rеcipiеnt fоr а vаriеtу оf rеаsоns!
Plеаsе, writе us in Еnglish оr usе prоfеssiоnаl trаnslаtоr!
If yоu wаnt tо rеstоrе yоur filеs, yоu hаvе tо pаy fоr dесrуptiоn in Bitсоins or Еthеrеum. Thе pricе dереnds оn hоw fаst уоu writе tо us.
Tо cоnfirm thаt wе cаn dесryрt yоur filеs yоu cаn sеnd us up tо 3 filеs fоr frее dесrурtiоn. Plеаsе nоte thаt filеs fоr frее dесrурtiоn must NОT cоntаin аnу vаluаblе infоrmаtiоn аnd thеir tоtаl sizе must bе lеss thаn 5Mb.
Yоu hаvе tо rеspоnd аs sооn аs pоssiblе tо еnsurе thе rеstоrаtiоn оf yоur filеs, bеcаusе wе wоnt kееp yоur dеcrуptiоn kеys аt оur sеrvеr mоre thаn оne wееk in intеrеst оf оur sеcuritу.
Nоtе thаt аll thе аttеmpts оf dесryptiоn by yоursеlf оr using third pаrty tооls will rеsult оnly in irrеvосаble lоss оf yоur dаtа.
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 6 hours, рlеаsе сhеck SРАМ fоldеr!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 12 hours, рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 24 hours (еvеn if уоu hаvе prеviоuslу rесеivеd аnswеr frоm us), рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе tо еасh оf оur 3 еmаils!
Аnd dоn't fоrgеt tо chеck SPАМ fоldеr!
***

Обновление от 21 февраля 2018: 
Расширение: .[files4463@tuta.io]
Email: files4463@tuta.io
files4463@protonmail.ch
files4463@gmail.com
Записка: !ReadMe_To_Decrypt_Files!.rtf
Примеры заш-файлов: 
0aYB3JUZ-J6F1GGW4.[files4463@tuta.io]
0GwvpET0-GQIZZrfG.[files4463@tuta.io]
Топик на форуме >>
Результаты анализов: VT (от 31 марта 2018) + VB
Содержание записки о выкупе:
WHAT HAPPENED WITH YOUR FILES?
Your documents, databases, backups, network folders and other important files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
It mеаns thаt yоu will nоt bе аblе tо аccеss thеm аnуmоrе until thеу аrе dесrуptеd with yоur pеrsоnаl dесrуptiоn kеy! Withоut уоur pеrsоnаl kеy аnd sреciаl sоftwаrе dаtа rеcоvеrу is impоssiblе! If yоu will fоllоw оur instruсtiоns, wе guаrаntее thаt yоu cаn dесryрt аll yоur filеs quiсkly аnd sаfеly!
If yоu wаnt tо rеstоrе yоur filеs, plеаsе writе us tо thе е-mаils:
Files4463@tuta.io
Files4463@protonmail.ch
Files4463@gmail.com
In subjеct linе оf your mеssаgе writе yоur pеrsоnаl ID:
4292D68970C046D5
Wе rесоmmеnd yоu tо sеnd yоur messаge ОN ЕАСH оf ОUR 3 ЕМАILS, duе tо thе fасt thаt thе mеssаgе mау nоt rеаch thеir intеndеd rеcipiеnt fоr а vаriеtу оf rеаsоns!
Pleаse, writе us in Еnglish оr usе prоfеssiоnаl trаnslаtоr!
If yоu wаnt tо rеstоrе yоur filеs, yоu hаvе tо pаy fоr dесrуptiоn in Bitсоins. Thе pricе dереnds оn hоw fаst уоu writе tо us.
Your message will be as confirmation you are ready to pay for decryption key. After the payment you will get the decryption tool with instructions that will decrypt all your files including network folders.
Tо cоnfirm thаt wе cаn dесryрt yоur filеs yоu cаn sеnd us up tо 3 filеs fоr frее dесrурtiоn. Plеаsе nоte thаt filеs fоr frее dесrурtiоn must NОT cоntаin аnу vаluаblе infоrmаtiоn аnd thеir tоtаl sizе must bе lеss thаn 5Mb.
Yоu hаvе tо rеspоnd аs sооn аs pоssiblе tо еnsurе thе rеstоrаtiоn оf yоur filеs, bеcаusе wе wоnt kееp yоur dеcrуptiоn kеys аt оur sеrvеr mоre thаn оne wееk in intеrеst оf оur sеcuritу.
Nоtе thаt аll thе аttеmpts оf dесryptiоn by yоursеlf оr using third pаrty tооls will rеsult оnly in irrеvосаble lоss оf yоur dаtа.
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 6 hours, рlеаsе сhеck SРАМ fоldеr!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 12 hours, рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 24 hours (еvеn if уоu hаvе prеviоuslу rесеivеd аnswеr frоm us), рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе tо еасh оf оur 3 еmаils!
Аnd dоn't fоrgеt tо check SPАМ fоldеr!


Обновление от 16 марта 2018: 
Email: Yourencrypt@tutanota.com
Yourencrypt@gmail.com
Yorencrypt@protonmail.com
Записка: !ReadMe_To_Decrypt_Files!.rtf 
Скриншот записки


Обновление от 3 апреля 2018:

Пост в Твиттере >>
Расширение: .[RestorFile@tutanota.com]
Пример зашифрованного файла: 6RaSEhjk-QII38FDd.[RestorFile@tutanota.com]
Записка: #Decrypt_Files_ReadMe#.rtf
Email: RestorFile@tutanota.com
RestoreFile@iprotonmail.com
RestoreFile@qq.com
DNS: xxxx://murik.xyz/add.php***
URL-IP: 212.8.244.111:80 (Нидерланды, г. Дронтен)
Результаты анализов: VT + VT + VB + VB
Примечание. После шифрования файлов этот вариант вымогателя выполняет команду "cipher.exe / w: c", чтобы перезаписать свободное пространство на диске C:. После после этого средства восстановления данных не смогут помочь восстановить файлы без уплаты выкупа. 


Обновление от 19 апреля 2018: 
Пост в Твиттере >>
Расширение: .[oken@tutanota.com]
Пример зашифрованного файла: <random_name>.[oken@tutanota.com]
Email-1: oken@tutanota.com
Email-2: oken5@naver.com
Email-1: oken80@yahoo.com
Записка: #Decrypt_Files_ReadMe#.rtf


Обновление от 9 мая 2018: 
Пост в Твиттере >>
Расширение: .MTXLOCK 
Составное расширение: .[RestoreFile@qq.com].MTXLOCK 
Целевые расширения: .a, .aif, .cat, .chm, .cnv, .decTest, .def, .doc, .docx, .dun, .enc, .eps, .gif, .gitignore, .h, .HTT, .icns, .ico, .icw, .inc, .ini, .isp, .jpg, .lib, .log, .lxa, .MSG, .msi, .OCX, .png, .ppm, .ppt, .pptx, .py, .pyc, .pyd, .pyo, .rll, .sam, .sdf, .shw, .sst, .tar, .tcl, .tlb, .tm, .txt, .url, .uue, .wav, .wb2, .wpc, .xls, .xlsx, .xml, 
Имена файлов в этой версии не шифруются. 
Записка о выкупе: #Decrypt_files_ReadMe#.rtf
Email: RestoreFile@qq.com
RestoreFile@yahoo.com
RestoreFile2018@gmail.com
DNS: murikos.in
Результаты анализов: VT

Обновление от 31 июля 2018:
Пост в Твиттере >> + Пост в Твиттере >>
Расширение: .ANN
Записка: #README_ANN#.rtf
Email: AskHelp@protonmail.com
AskHelp@tutanota.com
AskHelp@india.com
Результаты анализов: VT

На скриншоте (слева направо): часть записки о выкупе, внешний вид зашифрованных файлов, маркер файлов и hex-информация. 


Обновление 31 июля 2018:
Пост в Твиттере >>
Расширение: .CORE
Составное расширение: [BatHelp@protonmail.com].<random>-<random>.CORE
Файлы переименовываются (см. шаблон в составном расширении). 
Примеры зашифрованных файлов:
[BatHelp@protonmail.com].t0fnrV27-Q1I6lguI.CORE

[BatHelp@protonmail.com].N4RxxReU-gGlVTT8O.CORE
Записка: #CORE_README#.rtf
Email: BatHelp@protonmail.com
BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm
Результатыт анализов: VT


Обновление от 18 августа 2018:
Пост в Твиттере >>
Подробный обзор на сайте BC >>
Расширение: .FOX
Нацелен на все файлы, чтобы причинить максимальный ущерб. 
Шифрует и переименовывает. 
Примеры зашифрованных файлов: 
[PabFox@protonmail.com ].jJASzHIg-vh4PAwsy.FOX
[PabFox@protonmail.com ].7qSK0XLB-1kqpLnHF.FOX
[PabFox@protonmail.com ].i6hnvrYh-qKGo43RX.FOX
Шаблон зашифрованного файла: [PabFox@protonmail.com ].<random>-<random>.FOX

Email: PabFox@protonmail.com, FoxHelp@cock.li, FoxHelp@tutanota.com
Записка: #FOX_README#.rtf
Также используется изображение, заменяющее обои Рабочего стола. 
➤ Содержание записки о выкупе:
HOW TO RECOVER YOUR FILES INSTRUCTION
ATENTION!!!
We are realy sorry to inform you that  ALL YOUR FILES WERE ENCRYPTED 
by our automatic software. It became possible because of bad server security.  
ATENTION!!!
Please don't worry, we can help you to RESTORE your server to original
state and decrypt all your files quickly and safely!
INFORMATION!!!
Files are not broken!!!
Files were encrypted with AES-128+RSA-2048 crypto algorithms.
There is no way to decrypt your files without unique decryption key and special software. Your unique decryption key is securely stored on our server. For our safety, all information about your server and your decryption key will be automaticaly DELETED AFTER 7 DAYS! You will irrevocably lose all your data!
* Please note that all the attempts to recover your files by yourself or using third party tools will result only in irrevocable loss of your data!
* Please note that you can recover files only with your unique decryption key, which stored on our side. If you will use the help of third parties, you will only add a middleman.
HOW TO RECOVER FILES???
Please write us to the e-mail (write on English or use professional translator):
PabFox@protonmail.com 
FoxHelp@cock.li
FoxHelp@tutanota.com
You have to send your message on each of our 3 emails due to the fact that the message may not reach their intended recipient for a variety of reasons!
In subject line write your personal ID:
[id]
We recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your files. 
*   Please note that files must not contain any valuable information and their total size must be less than 5Mb. 
OUR ADVICE!!!
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.
We will definitely reach an agreement ;) !!!
➤ Файлы:
%AppData%\random.vbs  - например: WB5z0U4b.vbs
%AppData%\random.bat  - например: gFpOKKqW.bat
%AppData%\random.bmp  - например: oVOgO8Y0.bmp
%DownloadedFolder%\.exe
%DownloadedFolder%\.bat
Результаты анализов: VT

Обновление от 27 августа 2018:
Пост в Твиттере >>
Расширение: .KOK8
Пример зашифрованного файла: [KOK8@protonmail.com].6CmGOM37-BkOFyVUI.KOK8
Шаблон зашифрованного файла: [KOK8@protonmail.com].<random>-<random>.KOK8
Записка: #KOK8_README#.rtf

Обновление от 1-4 сентября 2018: 
Пост в Твиттере >>
Пост в Твиттере >>
Топик на форуме >>
Расширение: .NEWRAR
Примеры зашифрованных файлов: 
[newrar@tuta.io].P95LEf8X-aIAwn2tQ.NEWRAR
[newrar@tuta.io].rw1OuQqD-a0TKqLyr.NEWRAR
[newrar@tuta.io].O9cvmUpO-AnrxOzDw.NEWRAR
Записка: #NEWRAR_README#.rtf
Email: newrar@tuta.io, newrar@cock.lu
BM: BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm

Обновление от 4 сентября 2018:
Пост в Твиттере >>
Расширение: .FASTBOB
Пример зашифрованного файла: [FastBob@protonmail.com].8lq01UYr-GedmPx8k.FASTBOB
Email: FastBob@protonmail.com
Записка: #_#FASTBOB_README#_#.rtf
BM: BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm

Обновление от 6 сентября 2018:
Пост в Твиттере >>
Расширение: .KOK08
Файлы переименовываются. 
Примеры зашифрованных файлов: 
[KOK8@protonmail.com ].bT4Tluf1-zAWZundE.KOK8
[KOK8@protonmail.com ].7yIBVFev-0jxtM5yN.KOK8
Мьютекс: MutexKOK08
Email: KOK08@protonmail.com
Записка: #KOK08_README#.rtf
BM: BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm
Результаты анализов: VT

Обновление от 6-17 сентября 2018:
Пост в Твиттере >>
Расширение: .KOK08
Файлы переименовываются. 
Шаблон зашифрованного файла: [KOK08@QQ.COM].<random>-<random>.CHE08
Пример зашифрованного файла: [KOK08@qq.com].2Gj5Vdaa-E9PI4vVx.KOK08
Мьютекс: MutexKOK08
Email: KOK08@QQ.COM
URL + IP: jostat.000webhostapp.com (145.14.144.235)


Обновление от 12 сентября 2018:
Пост в Твиттере >>
Расширение: .ITLOCK
Пример зашифрованного файла: [itcompany2018@qq.com].B3FhUDwf-3FaOIEwK.ITLOCK
Записка: !ITLOCK_README!.rtf
BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm

Обновление от 1 октября 2018: 
Пост в Твиттере >>
Расширение: .EMAN
Пример зашифрованного файла: [EncodeMan@qq.com].jbyP1W61-60rsxPZt.EMAN
Мьютексы: MutexEMAN, MutexEMANDONW
Записка: #README_EMAN#.rtf
Email: EncodeMan@qq.com
URL: eman.mygoodsday.org
Bitmessage: BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm
Результаты анализов: VT + VMRay

Обновление от 8 октября 2018: 
Пост в Твиттере >>
Расширение: .GMAN
Пример зашифрованного файла: [TRU888@QQ.COM].TRVbagIQ-srBrEuxd.GMAN
Записка: !README_GMAN!.rtf
Email: TRU888@QQ.COM
tru8@protonmail.com
tru8@tutanota.com
Другой вариант Того же дня:
Записка: #README_GMAN#.rtf
Email: GMan222@qq.com

Обновление от 8 октября 2018: 
Пост в Твиттере >>
Расширение: .EMAN50
Пример зашифрованного файла: [ransomriggs@qq.com].4psAONv8-21bPaW6T
Записка: #README_EMAN50#.rtf
Email: ransomriggs@qq.com

Обновление от 10 октября 2018:
Пост в Твиттере >>
Расширение: .NOBAD
Пример-1 зашифрованного файла: [nobad@tutamail.com].0QY7Vhxv-p9OAxGOR.NOBAD
Пример-2 зашифрованного файла: [InkcognitoMan@tutamail.com].SBwhmzEk-p14K71jg.NOBAD
Записка: #NOBAD_README#.rtf
Email-1: nobad@tutamail.com
Email-2: InkcognitoMan@tutamail.com
BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm

Обновление от 16 октября 2018:
Пост в Твиттере >>
Расширение: .THDA
Пример зашифрованного файла: [FilesBack@qq.com].JfdApJ6H-QHmXsn4p.THDA
Записка: !README_THDA!.rtf
Email: FilesBack@qq.com
Результаты анализов: VT + VMRay

Обновление от 22 октября 2018:
Пост в Твиттере >>
Расширение: .GMPF
Пример зашифрованного файла: [GetMyPass@qq.com].0BTT6VJO-ASJnqVxs.GMPF
Email: GetMyPass@qq.com

Обновление от 22 ноября 2018:
Пост в Твиттере >>
Расширение: .NOBAD
Записка: #NOBAD_README#.rtf
Email-2: 
Email-2: InkognitoMan@tutamail.com, InkognitoMan@firemail.cc
Результаты анализов: ---


Обновление от 9 января 2018:
Пост на форуме >>
Расширение: .SPCT
Пример зашифрованного файла: [RecoveryData1@cock.li].GXZeFRxg-ptNNXN5w.SPCT
Email: RecoveryData1@cock.li

Обновление от 11 февраля 2019:
Пост в Твиттере >>
Расширенеи: .PLANT
Email: CryptoPlant@protonmail.com
Пример зашифрованного файла: [CryptoPlant@protonmail.com].FznmXxRS-uzJQzaln.PLANT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + ещё
 ID Ransomware (ID as Matrix)
 Write-up
 *
 Thanks: 
 Rommel Joven
 Michael Gillespie, MalwareHunterTeam, S!Ri
 al1963, GrujaRS, R0bert R0senb0rg
 Lawrence Abrams, Rony, Emmanuel_ADC-Soft
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton