Gendarmerie

Gendarmerie Ransomware

GendarmerieCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 100 евро с купонов Neosurf, чтобы вернуть файлы. Оригинальное название: Gendarmerie. Название проекта: gendarmerie_crypter. На файле написано: ma_video.exe. 

© Генеалогия: HiddenTear >> DarkKomet, Gendarmerie > WhoLocker

К зашифрованным файлам добавляется расширение .hacking

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Message_Important.txt

Содержание записки о выкупе:
instruction à faire pour récupérer la clé de décryptage de vos fichiers crypter
email de contact : fbi-cybercrimedivision@hotmail.com
1) acheter des coupons neosurf de 100€ ,euros .
2) vous pouvez acheter les coupons neosurf ici https://www.recharge.fr/carte-neosurf
3) vous pouvez aussi acheter les coupons neosurf ici https://www.neosurf.com/fr_FR ou dans les bureaux de tabac
4) dès que je reçois les coupons neosurf ,je vous envoie la clé de décryptage par email.
Contact Email : fbi-cybercrimedivision@hotmail.com

Перевод записки на русский язык:
инструкции по восстановлению ключа дешифрования файлов 
контактный email-адрес: fbi-cybercrimedivision@hotmail.com
1) купите купоны Neosurf на 100 евро.
2) вы можете купить купоны Neosurf здесь https://www.recharge.fr/neosurf-card
3) вы также можете купить купоны Neosurf здесь https://www.neosurf.com/en_US или в табачных магазинах
4) Как только я получу купоны Neosurf, я пошлю вам ключ дешифрования по email.
контактный email-адрес: fbi-cybercrimedivision@hotmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message_Important.txt
<random>.exe

Расположения:
\Desktop\Message_Important.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fbi-cybercrimedivision@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 декабря 2017:
Пост в Твиттере >>
Расширение: .hacking
Записка: Message_Important.txt
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
Файлы: BelleVido.exe
На файле написано: Gendarmerie B.V.3 и BelleVidéo.exe
Результаты анализов: VT + IA

Обновление от 23 октября 2020:

Пост в Твиттере >>

Расширение: .AnoymouS

Записка: Message_Important.txt

Email: fbi-cybercrimedivision@hotmail.com

BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi

C:\Users\User\Desktop\CryptSky-master\ransomware-fud_2018-master\Gendarmerie B.V.3\obj\Debug\GTA V Setup.pdb

Файлы: GTA V Setup.exe

На файле написано:  Gendarmerie B.V.3 и GTA V Setup.exe

Результаты анализов: VT + IA

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri‏, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private