суббота, 21 октября 2017 г.

Phobos

Phobos Ransomware

Phobos NextGen Ransomware

Phobos NotDharma Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп в # BTC за дешифровку файлов. Оригинальное название: Phobos (отражено на записке о выкупе). Есть сведения, что это распространяется из Украины. Пострадавшие часто жалуются, что их обманывают после уплаты выкупа. Нельзя доверяться вымогателям! 

Обнаружения: 
Dr.Web -> Trojan.Encoder.27737, Trojan.PWS.Banker1.30220, Trojan.Encoder.28637, Trojan.Encoder.28626, Trojan.Encoder.29362
BitDefender -> Trojan.GenericKD.31737610, Gen:Variant.Ulise.24543, Trojan.GenericKD.31838640, Gen:Variant.Ulise.36831, Gen:Variant.Ransom.Phobos.*, Gen:Variant.Ulise.39944, Gen:Variant.Graftor.651871, Trojan.Ransom.Phobos.F
Malwarebytes -> Trojan.Crypt, Ransom.Phobos
ALYac -> Trojan.Ransom.Phobos
Ikarus -> Trojan-Ransom.Phobos
Sophos AV -> Troj/Phobos-B
Symantec ->ML.Attribute.HighConfidence
VBA32 -> BScope.TrojanRansom.Blocker

© Генеалогия: CrySiS  > Dharma > Phobos


Изображение — логотип статьи

🌌 Согласно основам Генеалогии Ransomware, значок "ножницы" ✂ здесь означает любое заимствование — в данном случае мы видим похожую форму для зашифрованных файлов, позже появилась похожая записка, похожий ID с 8-ю знаками и прочие элементы. Скорее всего, это используется для того, чтобы запутать детект, анализ и запугать пострадавших. Визуальное отличие - большие буквы ID, вместо маленьких id у Dharma RansomwareПринципиальные различия хорошо показаны в посте Майкла Джиллеспи на форуме BC (ссылка). 
Также есть кое-что, что использовалось ещё в CrySiS. 

К зашифрованным файлам добавляется составное расширение по шаблону ID<hex>.[<email].PHOBOS

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Первая активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В конце 2018 года вновь начал активно распространяться. См. новые варианты и обновления после основной статьи. 

Записка с требованием выкупа называется: Phobos.hta
Phobos Ransomware

Содержание текста о выкупе:
All your files are encrypted 
Hello World 
Data on this PC turned into a useless binary code
To return to normal, please contact us by this e-mail: OttoZimmerman@protonmail.ch
Set topic of your message to 'Encryption ID:6BBC6934'
Interesting Facts: 
• 1. Over time, the cost increases, do not waste your time 
• 2. Only we can help you, for sure, no one else. 
• 3. BE CAREFUL !!! If you still try to find other solutions to the problem, make a backup copy of the files you want to experiment on, and play with them. Otherwise, they can be permanently damaged 
• 4. Any services that offer you help or just take money from you and disappear, or they will be intermediaries between us, with inflated value. Since the antidote is only among the creators of the virus 

Перевод текста на русский язык:
Все ваши файлы зашифрованы
Привет мир
Данные на этом ПК превратились в бесполезный двоичный код
Для возврата в нормальный, свяжитесь с нами по этому email: OttoZimmerman@protonmail.ch
Укажите тему своего сообщения как 'Encryption ID:6BBC6934'
Интересные факты:
• 1. Со временем стоимость увеличивается, не тратьте свое время
• 2. Только мы можем помочь вам, конечно, никто больше.
 3. Осторожно! Если вы ещё пытаетесь найти иные решения проблемы, сделайте бекап файлов, с которыми хотите экспериментировать, и играйте с ними. Иначе они могут быть навсегда повреждены
• 4. Любые сервисы по предложению помощи или просто возьмут с вас деньги и исчезнут, или будут посредниками между нами, с завышенной стоимостью. Поскольку противоядие есть только у создателей вируса



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ UAC не обходит. Требуется разрешение на запуск. Перед шифрование завершает некоторые процессы, связанные с базами данных, браузерами и популярными приложениями, рабочее состояние которых может помешать процессу шифрования. Также отключается брандмауэр Windows.

➤ Шифрование файлов можете работать онлайн и оффлайн. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows, на этапе загрузки, отключает файервол командами, запускает приложение mshta.exe для показа требований вымогателей:
vssadmin.exe vssadmin delete shadows /all /quiet
WMIC.exe wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} recoveryenabled no
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
netsh.exe netsh advfirewall set currentprofile state off
netsh.exe netsh firewall set opmode mode=disable
mshta.exe "%USERPROFILE%\Desktop\info.hta"
mshta.exe "%PUBLIC%\desktop\info.hta"
mshta.exe "C:\info.hta"

 Прописывается в Автозагрузку
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exec.exe

➤ Пострадавшие заметили установку или распаковку на своих ПК программы Process Hacker 2. Она часто используется атакующими для "чёрных" дел. Например, в конце декабря 2018 и начале января 2019 г. использовался файл processhacker-2.39-setup.exe

Список файловых расширений, подвергающихся шифрованию:
Многие популярные форматы файлов. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Используется маркер файлов "PHOBOS"

Файлы, связанные с этим Ransomware:
Phobos.hta
<random>.exe
svchost.exe

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run::ph_exec
См. ниже результаты анализов.

Сетевые подключения и связи:
OttoZimmerman@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.






=== ДЕШИФРОВЩИК === DECRYPTOR ===


Phobos Ransomware decryptor
Так выглядит оригинальный дешифровщик от вымогателей. 
Файлы, которые требуются дешифровщику для дешифровки файлов. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 18 декабря 2018:
Расширение: .phobos
Составное расширение: .ID-3EA0B923.[job2019@tutanota.com].phobos
Дополнительный файл: k.txt с ключом TEA
Email: job2019@tutanota.com
Ответ вымогателей пострадавшему через email:
Hello! The cost of the decryption program at the moment is $ 3000
For payment you have 6 hours - you need to buy bitcoin and pay for my wallet.
If you do not pay the decryption program within 6 hours - the price will be $ 5000
Buy bitcoin is best on the site https://localbitcoins.com , choose your country - buy Bitcoin and pay to my wallet: 1CTzR5oW4uQdY3xhHnmisD3M8shh7qcd6e
After you pay, you will receive all the necessary instructions to decrypt your files.

Обновление от 28 декабря 2018:
Расширение: .phobos
Составное расширение: .ID-82D06XXX.[bad_boy700@aol.com].phobos
Email: bad_boy700@aol.com

Обновление от 31 декабря 2018:
Пост на форуме >>
Расширение: .phobos
Составное расширение: ID-D0813XXX.[cadillac.407@aol.com].phobos
Email: cadillac.407@aol.com, Everest_2010@aol.com
Файлы EXE: NS.exe, exec.exe
Другие файлы: k.txt, Shadow.bat, processhacker-2.39-setup.exe
Записки: encrypted.txt и Data.hta
Phobos Ransomware
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail cadillac.407@aol.com
In case of no answer in 24 hours write us to theese e-mails: Everest_2010@aol.com
***
Результаты анализов: HA + AR + VT


=== 2019 ===

Новый список расширений:
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Обновление от 3 января 2019:
Расширение: .phobos
Составное расширение: ID-B29F1XXX.[raphaeldupon@aol.com].phobos
Email: raphaeldupon@aol.com
Пострадавшие из Бразилии. 

Обновление от 5 января 2019:
Расширение: .phobos
Составное расширение: ID-B35F2XXX.[paper_plane1@aol.com].phobos
Email: paper_plane1@aol.com

Обновление от 5 января 2019:
Расширение: .phobos
Составное расширение: .ID-741A6XXX.[barcelona_100@aol.com].phobos
Email: barcelona_100@aol.com

Обновление от 16 января 2019:
Расширение: .phobos
Составное расширение: .ID-1ECFDXXX.[elizabethz7cu1jones@aol.com].phobos
Email: elizabethz7cu1jones@aol.com

Обновление от 17 января 2019:
Расширение: .phobos
Составное расширение: .ID-2B3KLXXX.[beltoro905073@aol.com].phobos
Email: beltoro905073@aol.com

Обновление от 19 января 2019:
Расширение: .phobos
Составное расширение: ID-E8876XXX.[Raphaeldupon@aol.com].phobos
Email: Raphaeldupon@aol.com

Обновление от 20 января 2019:
Расширение: .phobos
Составное расширение: .ID-F8A0DXXX.[gomer_simpson2@aol.com].phobos
Email: gomer_simpson2@aol.com

Обновление от 5 февраля 2019:
Пост в Твиттере >>
Расширение: .phobos
Записка: Encrypted.txt
Email: ofizducwell1988@aol.com, FobosAmerika@protonmail.ch
Jabber: phobos_helper@xmpp.jp, phobos_helper@exploit.im
Phobos Ransomware note записка
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them,
write us to the e-mail ofizducwell1988@aol.com
In case of no answer in 24 hours write us to theese e-mails: FobosAmerika@protonmail.ch
If there is no response from our mail, you can install the Jabber client and write to
 us in support of phobos_helper@xmpp.jp or phobos_helper@exploit.im

Обновление 10 февраля: 
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[phobos.encrypt@qq.com].phobos
Email: phobos.encrypt@qq.com

Обновление 13 февраля:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[pixell@tutanota.com].phobos
Email: pixell@tutanota.com

Обновление от 16 февраля 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[ofizducwell1988@aol.com].phobos
Email: ofizducwell1988@aol.com, FobosAmerika@protonmail.ch
Jabber: phobos_helper@xmpp.jp, phobos_helper@exploit.im
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ofizducwell1988@aol.com
In case of no answer in 24 hours write us to theese e-mails: FobosAmerika@protonmail.ch
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp or phobos_helper@exploit.im

Обновление от 17 февраля 2019:
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[elizabeth67bysthompson@aol.com].phobos
Email: elizabeth67bysthompson@aol.com


Обновление от 21 февраля 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[pixell@cock.li].phobos
Email: pixell@cock.li
Phobos Ransomware



Обновление от 27 февраля 2019:
Пост в Твиттере >>
Расширение: .Frendi
Записка: Encrypted.txt
Email: tlalipidas1978@aol.com, FobosAmerika@protonmail.ch
Jabber: phobos_helper@xmpp.jp, phobos_helper@exploit.im
Phobos Ransomware
Файл EXE: tlalipidas1978@aol.com.exe
Результаты анализов: VT

Обновление от 9 марта 2019 (по дате зашифрованных файлов):
Пост на форуме >>
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[cercisori1979@aol.com].phobos
Email: cercisori1979@aol.com
Результаты анализов: VT

Обновление от 30 марта 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[posiccimen1982@aol.com].phobos
Email: posiccimen1982@aol.com

Обновление от 30 марта 2019:
Пост на форуме >>
Расширение: .phobos
Пример составного расширения: .id[381EB955-0001].[prejimzalma1972@aol.com].phobos
Email: prejimzalma1972@aol.com

Обновление от от 31 марта 2019:
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[taverptintra1985@aol.com].phobos
Email: taverptintra1985@aol.com

Обновление от 1 апреля 2019:
Пост на форуме >>
Расширение: .Frendi
Составное расширение: .ID-XXXXXXXX.[withdirimugh1982@aol.com].Frendi
Записка: Encrypted.txt
Email: withdirimugh1982@aol.com

Обновление от 2 апреля 2019:
Расширение: .phobos
Составное расширение: .ID-XXXXXXXX.[hidebak@protonmail.com].phobos
Email: hidebak@protonmail.com

Обновление от 3 апреля 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .phobos
Новый шаблон составного расширения: .id[XXXXXXXX-0001].[<email>].phobos
Примеры нового составного расширения: 
.id[A8F059E0-0001].[posiccimen1982@aol.com].phobos
.id[C4BA3647-0001].[posiccimen1982@aol.com].phobos
Записки: info.txt, info.hta
Email: posiccimen1982@aol.com, stanodexne1982@aol.com
Jabber: waitheisenberg@xmpp.jp
➤ Содержание записки info.txt:
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: posiccimen1982@aol.com.
If we don't answer in 48h., send e-mail to this address: stanodexne1982@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of waitheisenberg@xmpp.jp
 
Файлы: dexec.exe, ph_exec.pdb
Результаты анализов: VT + HA + AR + IA

Обновление от 12 апреля 2019:
Пост в Твиттере >>
Расширение: .phobos
Пример составного расширения: .id[9C354B42-0001].[tedmundboardus@aol.com].phobos
Email: tedmundboardus@aol.com, tylecotebenji@aol.com
Jabber: phobos_helpper@xmpp.jp
Записки: info.txt, info.hta 
Файл EXE: exec.exe
Результаты анализов: VT + VMR


Обновление от 12 апреля 2019:
Пост на форуме >>
Записка: encrypted.txtEmail: decryptfiles@420blaze.it, decryptfiles@cock.lu
All your files have been encrypted due to a security problem with your PC. 
If you want to restore them, write us to the e-mail decryptfiles@420blaze.it 
In case of no answer in 24 hours write us to theese e-mails: decryptfiles@cock.lu

Обновление от 17-18 апреля 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-7777].[absonkaine@aol.com].phoenix
Записки: info.txt, info.hta
Email: absonkaine@aol.com, klemens.stobe@aol.com
Jabber: phobos_helpper@xmpp.jp
➤ Содержание записки info.txt:
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: absonkaine@aol.com.
If we don't answer in 48h., send e-mail to this address: klemens.stobe@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp
Результаты анализов: VT + VMR

Обновление от 18 апреля 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-0001].[autrey.b@aol.com].phoenix
Email: autrey.b@aol.com

Обновление от 22 апреля 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[alphonsepercy@aol.com].phobos
Email: alphonsepercy@aol.com

Обновление от 22 апреля 2019:

Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[park.jehu@aol.com].phobos
Email: park.jehu@aol.com



Обновление от 22 апреля 2019:
Пост в Твиттере >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-XXXX].[tedmundboardus@aol.com].phobos
Email: tedmundboardus@aol.com

Обновление от 25 апреля 2019:
Email: kylenoble726@aol.com

Обновление от 25 апреля 2019:
Пост в Твиттере >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[phobosrecovery@cock.li].phobos
Email: phobosrecovery@cock.li, phobosrecovery@tutanota.com
Результаты анализов: VT + VMR

Обновление от 26 апреля 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[darillkay@aol.com].phobos
Email: darillkay@aol.com, abbott_wearing@aol.com
Jabber: phobos_helper@xmpp.jp
Записка: info.txt
➤ Содержание записки info.txt:
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: darillkay@aol.com.
If we don't answer in 48h., send e-mail to this address: abbott_wearing@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp

Обновление от 27 апреля 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXX-0001].[thorpe.grand@aol.com].phobos
Email: thorpe.grand@aol.com

Обновление от 28 апреля 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1023].[luciolussenhoff@aol.com].phobos
Email: luciolussenhoff@aol.com

Обновление от 30 апреля:
Пост на форуме >>
Расширение: .phobos
Составные расширения:
.id[XXXXXXXX-0001].[grattan.l@aol.com].phobos
.id[XXXXXXXX-0001].[prejimzalma1972@aol.com].phobos
Email: grattan.l@aol.com
Email: prejimzalma1972@aol.com

Обновление от 4 мая 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[xxxxxxxx-0001].[costelloh@aol.com].phoenix
Записки: info.txt, info.hta
Email: costelloh@aol.com, klemens.stobe@aol.com
Файлы: costelloh.exe, ph_exec.pdb
Результаты анализов: VT + HAVMR

Обновление от 8 мая 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[carmichael.lion@aol.com].phobos
Email: carmichael.lion@aol.com


Обновление от 8 мая 2019:
Расширение: .actor
Составное расширение: .id[XXXXXXXX-2220].[returnmefiles@aol.com].actor
Email: returnmefiles@aol.com

Обновление от 8 мая 2019:
Расширение: .phobos
Записка: Encrypted.txt
Email: night_illusion@aol.com, Everest_2010@aol.com
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail night_illusion@aol.com 
In case of no answer in 24 hours write us to theese e-mails: Everest_2010@aol.com

Обновление от 11 мая 2019:
Пост на форуме >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-1011].[cello_dodds@aol.com].phoenix
Email: cello_dodds@aol.com

Обновление от 12 мая 2019:
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-1004].[hickeyblair@aol.com].phoenix
Записки: info.txt, info.hta
Email: hickeyblair@aol.com, klemens.stobe@aol.com


Обновление от 13 мая 2019:
Расширение: .phobos
Записки: info.hta и info.txt
Email: com-gloria@tutanota.com, com-gloria@protonmail.com

Обновление от 13 мая 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1031].[nichols_l@aol.com].phobos
Email: nichols_l@aol.com, tylecotebenji@aol.com
➤ Содержание записки: 
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: nichols_l@aol.com.
If we don't answer in 48h., send e-mail to this address: tylecotebenji@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp

Обновление от 15 мая 2019:
Расширение: .mamba
Составное расширение: .id[XXXXXXXX-1130].[fileb@protonmail.com].mamba
Записка: info.hta
Email: fileb@protonmail.com, back7@protonmail.ch
Результаты анализов: VT + HA + AR + IA



Обновление от 18 мая 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1104].[key07@qq.com].phobos
Email: kew07@qq.com
Записки: info.hta и info.txt


Обновление от 20 мая 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-XXXX].[helpyourdata@qq.com].phobos
Email: helpyourdata@qq.com

Обновление от 21 мая 2019:
Пост в Твиттере >>
Топик на форуме >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1104].[kew07@qq.com].actin
Email: kew07@qq.com
Записки: info.hta и info.txt

➤ Файл дешифровщика: 2ph_decrypt.exe (VT)
➤ Файл шифровальщика: 2ph_exec.exe
Результаты анализов: VT + HA + AR + IA 


Обновление от 24 мая 2019:
Пост в Твиттере >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1030].[ramsey_frederick@aol.com].phobos
Email: ramsey_frederick@aol.com,tylecotebenji@aol.com
Результаты анализов: VT + VMR

Обновление от 25 мая 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[lofutesdogg1983@aol.com].phobos
Email: lofutesdogg1983@aol.com

Обновление от 26 мая 2019:
Топик на фоуме >>

Расширение: .KARLOS
Составное расширение: .id[XXXXXXXX-1148].[karlosdecrypt@outlook.com].KARLOS
Email: 
karlosdecrypt@outlook.com

Обновление от 26 мая 2019:
Пост на форуме >>
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-0001].[gabbiemciveen@aol.com].phobos
Email: gabbiemciveen@aol.com

Обновление от 27 мая 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1044].[christosblee@aol.com].phobos
Email: christosblee@aol.com

Обновление от 27 мая 2019:
Пост в Твиттере >>
Расширение: .help
Составное расширение: .id[XXXXXXXX-1016].[randal_inman@aol.com].help
Составное расширение: .id[XXXXXXXX-1044].[randal_inman@aol.com].help
Email: randal_inman@aol.com, gherardobaxter@aol.com
Jabber: phobos_helper@xmpp.jp
Результаты анализов: VT + VMR

Обновление от 28-29 мая 2019:
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1159].[upfileme@protonmail.com].actin
Email: upfileme@protonmail.com

Обновление от 30-31 мая 2019:
Расширение: .actor
Составное расширение: .id[XXXXXXXX-2220].[returnmefiles@aol.com].actor
Email: returnmefiles@aol.com


Обновление от 2 июня 2019:
Пост на форуме >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-1041].[costelloh@aol.com].phoenix
Email: costelloh@aol.com

Обновление от 3 июня 2019:
Расширение: .com
Составное расширение: .id[70C80B9F-1127].[DonovanTudor@aol.com].com
Email: DonovanTudor@aol.com


Обновление от 3 июня 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1022].[simonsbarth@aol.com].phobos
Email: simonsbarth@aol.com


Обновление от 4 июня 2019:
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1115].[thedecrypt111@qq.com].actin
Email: thedecrypt111@qq.com

Обновление от 4 июня 2019:
Email: walletwix@aol.com


Обновление от 5 июня 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1022].[simonsbarth@aol.com].phobos
Email: simonsbarth@aol.com


Обновление от 12 июня 2019:
Пост в Твиттере >>
Расширение: .actin
.id[XXXXXXXX-XXXX].[ban.out@foxmail.com].actin
Email: ban.out@foxmail.com

Обновление от 13 июня 2019:
Пост на форуме >>
Расширение: .Acton
Составное расширение: .id[XXXXXXXX-2214].[datadecryption@countermail.com].Acton
Email: datadecryption@countermail.com
Записка: info.hta

Обновление от 17 июня 2019:
Пост в Твиттере >>
Топик на форуме >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1023].[luciolussenhoff@aol.com].actin
Email: luciolussenhoff@aol.com, leeming.derick@aol.com
Jabber: waitheisenberg@xmpp.jp
Записка: info.hta

Обновление от 18 июня 2019:
Расширение: .phobos
Составное расширение: .id[XXXXXXXX-1022].[simonsbarth@aol.com].phobos
Email: simonsbarth@aol.com

Обновление от 19 июня 2019:
Пост в Твиттере >>
Расширение: .adage
Составное расширение: .id[XXXXXXXX-10**].[helpteam38@protonmail.com].adage
Email: simonsbarth@aol.com

Обновление от 20 июня 2019:
Пост в Твиттере >>
Расширение: .blend
Составное расширение: .id[XXXXXXXX-1103].[danger@countermail.com].blend
Email: danger@countermail.com


Обновление от 22 июня 2019:
Пост в Твиттере >>
Расширение: .actor
Составное расширение: .id[XXXXXXXX-XXXX].[William_Kidd_2019@protonmail.com].actor
Email: William_Kidd_2019@protonmail.com
Результаты анализов: VT + VMR

Обновление от 24 июня 2019:
Расширение: .adage
Составное расширение: .id[XXXXXXXX-2250].[wewillhelpyou@qq.com].adage
Email: wewillhelpyou@qq.com

Обновление от 24 июня 2019:
Пост в Твиттере >>
Расширение: .WALLET
Составное расширение: .id[XXXXXXXX-2243].[walletdata@hotmail.com].WALLET
Результаты анализов: VT 

Обновление от 28 июня 2019:
Пост на форуме >>
Расширение: .help
Составное расширение: .id[XXXXXXXX-1055].[hartpole.danie@aol.com].help 
Email: hartpole.danie@aol.com, abbott_wearing@aol.com
Jabber: phobos_helper@xmpp.jp
 Содержание записки:
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: hartpole.danie@aol.com.
If we don't answer in 24h., send e-mail to this address: abbott_wearing@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp

Обновление от 30 июня 2019:
Топик на форуме >>
Топик на форуме >>
Расширение: .acute
Составное расширение: .id[XXXXXXXX-1096].[lockhelp@qq.com].acute
Записки: info.txt, info.hta
Email: lockhelp@qq.com
Jabber: lockhelp@xmpp.jp 
➤ Содержание txt-записки: 
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: lockhelp@qq.com.
If there is no response from our mail, you can install the Jabber client and write to us in support of lockhelp@xmpp.jp
➤ Содержание hta-записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail lockhelp@qq.com
Write this ID in the title of your message 6C21BXXX-1096
If there is no response from our mail, you can install the Jabber client and write to us in support of lockhelp@xmpp.jp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click "Add"
In the "Protocol" field, select XMPP
In "Username" - come up with any name
In the field "domain" - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick "Create account"
Click add
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 1 июля 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[***].[batecaddric@aol.com].phoenix
Файл EXE: spotify.exe

Результаты анализов: VT


Обновление от 1 июля 2019:
Пост в Твиттере >>
Расширение: .adage
Составное расширение: .id[***].[burnofin@hotmail.com].adage
Результаты анализов: VT


Обновление от 1 июля 2019:
Пост в Твиттере >>
Расширение: .1500dollars
Составное расширение: .id[XXXXXXXX-1095].[cleverhorse@protonmail.com].1500dollars
Email: cleverhorse@protonmail.com

Обновление от 2 июля 2019:
Расширение: .Acton
Составное расширение: .id[A0787XXX-1021].[greg.philipson@aol.com].Acton
Email: greg.philipson@aol.com, leeming.derick@aol.com
Jabber: waitheisenberg@xmpp.jp
Записка: info.txt
➤ Содержание записки: 
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: greg.philipson@aol.com.
If we don't answer in 24h., send e-mail to this address: leeming.derick@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of waitheisenberg@xmpp.jp

Обновление от 3 июля 2019:
Расширение: .Acton
Составное расширение: .id[4C6E7XXX-1085].[hadleeshelton@aol.com].Acton
Email: hadleeshelton@aol.com
Записка: info.txt


Обновление от 4 июля 2019:
Пост в Твиттере >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-0115].[fileisafe@tuta.io].actin
Email: fileisafe@tuta.io
Результаты анализов: VT + VMR

Обновление от 7 июля 2019:
Пост в Твиттере >>
Расширение: .adage
Составное расширение: .id[XXXXXXX-XXXX].[wewillhelpyou@qq.com].adage
Email: wewillhelpyou@qq.com
Записка: info.txt
Результаты анализов: VT + VMR


Обновление от 10 июля 2019:
Расширение: .com
Составное расширение: .id[XXXXXXXX-1127].[DonovanTudor@aol.com].com
Email: DonovanTudor@aol.com

Обновление от 10 июля 2019:
Расширение: .adage
Составное расширение: .id[XXXXXXXX-2242].[Keta990@protonmail.com].adage
Email: Keta990@protonmail.com


Обновление от 10 июля 2019:
Пост в Твиттере >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1135].[walletwix@aol.com].actin
Записки: info.txt, info.hta
Email: walletwix@aol.com 
Результаты анализов: VT + HA

Обновление от 13-14 июля 2019:
Топик на форуме >>
Топик на форуме >>
Расширение: .Adame
Составное расширение: .id[XXXXXXXX-2275].[supportcrypt2019@cock.li].Adame
Записка: encrypted.hta (?)
Email: supportcrypt2019@cock.li, supportcrypt2019@protonmail.com
Файл: ItFoV.exe
На файле написано: The App that Reminds You to Move More
ProductName: Move More
Фальш-копирайт: Desk Relief
На другом файле будет написано что-то другое. 
Результаты анализов: VT + HA + IA + AR + AR

Обновление от 17 июля 2019:
Пост в Твиттере >>
Расширение: .actor
Составное расширение: .id[XXXXXXXX-2224].[zoye1596@msgden.net].actorЗаписки: info.txt, info.tha
Email: zoye1596@msgden.net, zoye596@protonmail.com
Результаты анализов: VT 

Обновление от 17 июля 2019:
Пост в Твиттере >>
Расширение: .Acton
Составное расширение: .id[XXXXXX-1091].[b.morningtonjones@aol.com].Acton
Записки: info.txt, info.hta
Email: b.morningtonjones@aol.com, dennet.smellie@aol.com
Результаты анализов: VT + VMR

Обновление от 17 июля 2019:
Расширение: .adage
Составное расширение: .id[XXXXXXXX-2256].[Quantroei@protonmail.com].adage
Email: Quantroei@protonmail.com, sailormorgan@protonmail.com

Обновление от 22 июля 2019:
Пост на форуме >>
Расширение: .help
Составное расширение: .id[XXXXXX-1033].[Tedmundboardus@aol.com].help
Записки: info.txt, info.hta
Email: tedmundboardus@aol.com, irvinclarke@aol.com
Jabber: phobos_helper@xmpp.jp
Результаты анализов: VT + VMR
➤ Содержание записки: 
!!! All of your files are encrypted !!!
To decrypt them send e-mail to this address: tedmundboardus@aol.com.
If we don't answer in 24h., send e-mail to this address: irvinclarke@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_helper@xmpp.jp


Обновление от 24 июля 2019:
Пост на форуме >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1154].[helpyourdata@qq.com].actin
Email: helpyourdata@qq.com


Обновление от 25 июля 2019:
Пост в Твиттере >>
Расширение: .banjo
Составное расширение: .id[XXXXXXXX-2300].[crysall.g@aol.com].banjo
Записки: info.txt, info.hta
Email: crysall.g@aol.com
Результаты анализов: VT + VMR

Обновление от 26 июля 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .Adame
Составное расширение: .id[XXXXXXXX-2275].[raynorzlol@tutanota.com].Adame
Записка:  info.txt, info.hta
Email: raynorzlol@tutanota.com, raynorzlol@protonmail.com, raynorzlol@thesecure.biz
➤ Содержание записки:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail raynorzlol@tutanota.com
Write this ID in the title of your message F6593DDC-2275
In case of no answer in 24 hours write us to this e-mail:raynorzlol@protonmail.com
If there is no response from our mail, you can install the Jabber client and write to us in support of raynorzlol@thesecure.biz
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
Результаты анализов: VT + AR

Обновление от 27 июля 2019:
Пост в Твиттере >>
Расширение: .acute
Составное расширение: .id[XXXXXXX-1096].[lockhelp@qq.com].acute
Email: lockhelp@qq.com
Jabber: lockhelp@xmpp.jp
Записки: info.txt, info.hta
Результаты анализов: VT + VMR + JSA + JSA

Обновление от 2 августа 2019:
Расширение: .banjo
Составное расширение: .id[XXXXXXXX-2288].[2172998725@qq.com].banjo
Записки: info.txt, info.hta

Email: 2172998725@qq.com

Обновление от 7 августа 2019:
Пост в Твиттере >>
Расширение: .help
Составное расширение: .id[XXXXXXXX-1010].[lachneyorlachb@aol.com].help
Записки: info.txt, info.hta
Email: lachneyorlachb@aol.com, dennet.smellie@aol.com
Файл EXE: svhost.exe
Результаты анализов: VT + AR

Обновление от 8 августа 2019:
Пост в Твиттере >>
Расширение: .BORISHORSE
Составное расширение: .id[XXXXXXXX-2271].[worldofdonkeys@protonmail.com].BORISHORSE
Записки: info.txt, info.hta
Email: worldofdonkeys@protonmail.com
Jabber: worldofdonkeys@xmpp.jp
Файл EXE: AntiRecuvaAndDB.exe
Результаты анализов: VT + AR
➤ Содержание записки:
Want return your files?Write to our xmpp account - worldofdonkeys@xmpp.jp
The easiest way - register here https://www.xmpp.jp/signup
After download pidgin client https://pidgin.im/
Press Add account,choose protocol xmpp and put username from xmpp.jp where are you sign up
Domain - xmpp.jp
Put your password and press add
When you log in press Buddies --> Add Buddy-->and in Buddys username put beautydonkey xmpp.jp
After you will see added account beautydonkey@xmpp.jp,click twice on it and write your message
You can send us 1-3 test files. The total size of files must be less than 10Mb (non archived),
we will decrypt them and send to you that we are real
If you have a problem with xmpp you can write to our mail worldofdonkeys@protonmail.com

Обновление от 10 августа 2019:
Расширение: .Banta
Составное расширение: .id[XXXXXXXX-2321].[larabita@cock.li].Banta
Email: larabita@cock.li

Обновление от 10 августа 2019:
Пост в Твиттере >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1161].[member987@tutanota.com].actin
Email: member987@tutanota.com, member987@cock.li
Записки: info.hta, info.txt



Обновление от 16 августа 2019:
Пост на форуме >>
Расширение: .actin
Составное расширение: .id[FA042B1B-1023].[tirrelllipps@aol.com].actin
Записки: info.txt, info.hta
Email: tirrelllipps@aol.com


Обновление от 19 августа 2019:
Топик на форуме >>
Расширение: .banjo
Составное расширение: .id[XXXXXXXX-2289].[bbbitcrypt@tutanota.com].banjo
Записки: info.txt, info.hta
Email: bbbitcrypt@tutanota.com, bbitcrypt@protonmail.com

Обновление от 19-23 августа 2019: 
Топик на форуме >>
Расширение: .BANKS
Составное расширение: .id[XXXXXXXX-2315].[decrypt@files.mn].BANKS
Записки: info.txt, info.hta
Email: decrypt@files.mn

Обновление от 22 августа 2019:
Расширение: .Banta
Составное расширение: .id[XXXXXXXX-2346].[limboshuran@cock.li].Banta 
Email: limboshuran@cock.li

Обновление от 28 августа 2019:
Топик на форуме >>
Email: decryptbox@airmail.cc, repairfiles@foxmail.com

Обновление от 31 августа 2019:
Расширение: *
Составное расширение: .id[XXXXXXXX-1162].[files2@protonmail.com]*
Email: files2@protonmail.com

Обновление от 31 августа 2019:
Топик на форуме >>
Расширение: .zax
Составное расширение: .id[XXXXXXXX-2376].[zax444@qq.com].zax
Записки: *
Email: zax444@qq.com

Обновление от 1 сентября 2019:
Пост в Твиттере >>
Расширение: .Banta
Составное расширение: .id[XXXXXXXX-2325].[zax4444@qq.com].Banta
Email: zax4444@qq.com
Результаты анализов: VT 

Обновление от 1 сентября 2019:
Расширение: .Adame
Составное расширение: .id[XXXXXXXX-2275].[recovermyfiles2019@thesecure.biz].Adame
Email: recovermyfiles2019@thesecure.biz
Записки: info.txt, info.hta

Обновление от 1 сентября 2019:
Пост на форуме >>
Расширение: .Adame
Составное расширение: .id[XXXXXXXX-2275].[recovermyfiles2019@thesecure.biz].Adame
Jabber: recovermyfiles2019@thesecure.biz 
Bitmessage: BM-2cVoXfF2BdYyfxBrady3hopZN6izutPyEr
Записки: info.txt, info.hta


Обновление от 3 сентября 2019:
Пост на форуме >>
Расширение: .Acton
Составное расширение: .id[XXXXXXXX-1077].[kalle.tomlin@aol.com].Acton
Email: kalle.tomlin@aol.com

Обновление от 5 сентября 2019:Расширение: .Actin
Составное расширение: .id[XXXXXXXX-XXXX].[tirrellipps@aol.com].Actin
Email: tirrellipps@aol.com

Обновление от 7 сентября 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .barak
Составное расширение: .id[XXXXXXXX-2382].[captainpilot@cock.li].barak
Email: captainpilot@cock.li

Обновление от 7 сентября 2019:
Пост на форуме >>
Расширение: .actin
Составное расширение: .id[XXXXXXXX-1162].[files2@protonmail.com].actin
Email: files2@protonmail.com

Обновление от 9 сентября 2019:
Расширение: .Barak
Составное расширение: .id[XXXXXXXX-1150].[onlyfiles@aol.com].Barak
Email: onlyfiles@aol.com

Обновление от 13 сентября 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-2299].[britt.looper@aol.com].phoenix
Записки: info.txt, info.hta
Email: britt.looper@aol.com, stuart.wittie@aol.com
Jabber: phobos_helper@xmpp.jp
Файл EXE: shaofao.exe
Результаты анализов: VT + AR + IA + VMR

Обновление от 14 сентября 2019:
Расширение: .banjo
Составное расширение: .id[XXXXXXXX-XXXX].[Datarest0re@aol.com].banjo
Записки: info.txt, info.hta
Email: Datarest0re@aol.com


Обновление от 16 сентября 2019:
Пост в Твиттере >>
Расширение: .Barak
Составное расширение: .id[XXXXXXXX-2373].[decriptionsupport911@airmail.cc].Barak
Email: decriptionsupport911@airmail.cc

Обновление от 16 сентября 2019:
Пост в Твиттере >>
Расширение: .Banta
Составное расширение: .id[XXXXXXXX-2317].[washapen@cock.li].Banta
Email: washapen@cock.li

Обновление от 23 сентября 2019:
Пост в Твиттере >>
Расширение: .Caley
Составное расширение: .id[XXXXXXXX-2416].[restorebackup@qq.com].Caley
Записки: info.txt, info.hta
Email: restorebackup@qq.com
Результаты анализов: VT

Обновление от 24 сентября 2019:
Пост в Твиттере >>
Расширение: .Caleb
Составное расширение: .id[XXXXXXXX-2408].[funnyredfox@aol.com].Caleb
Записки: info.txt, info.hta
Email: funnyredfox@aol.com
Результаты анализов: VT (Dr.Web -> Trojan.Encoder.29362)


Обновление от 24 сентября 2019:
Пост в Твиттере >>
Расширение: .help
Составное расширение: id[XXXXXXXX-1075].[lewisswaffield.a@aol.com].help
Записки: info.txt, info.hta
Email: lewisswaffield.a@aol.com
Результаты анализов: VT (Dr.Web -> Trojan.Encoder.29362)

Обновление от 28 сентября 2019:
Пост в Твиттере >>
Расширение: .deal
Составное расширение: .id[XXXXXXXX-2423].[hanesworth.fabian@aol.com].deal
Записки: info.txt, info.hta
Email: hanesworth.fabian@aol.com, ciaprepoulep1977@aol.com
Результаты анализов: VT

Обновление от 3 октября 2019:
Пост в Твиттере >>
Расширение: .phoenix
Составное расширение: .id[XXXXXXXX-2292].[bowen.bord@aol.com].phoenix
Записки: info.txt, info.hta
Email: bowen.bord@aol.com, stuart.wittie@aol.com
Jabber: phobos_helper@xmpp.jp
Результаты анализов: VT + AR
 

Обновление от 3 октября 2019:
Пост в Твиттере >>
Расширение: .Cales
Составное расширение: .id[XXXXXXXX-2412].[recoveryfast@airmail.cc].Cales
Записки: info.txt, info.hta
Email: recoveryfast@airmail.cc
Результаты анализов: VT + AR

Обновление от 3 октября 2019:
Пост в Твиттере >>
Расширение: .calix
Составное расширение: id[XXXXXXXX-XXXX].[painplain98@protonmail.com].calix
Записки: info.txt, info.hta
Email: painplain98@protonmail.com, patern32@protonmail.com
Результаты анализов: VT (Dr.Web -> Trojan.Encoder.29362, BitDefender -> Trojan.Ransom.Phobos.F)

Обновление от 4 октября 2019:
Пост на форуме >>
Расширение: .Caleb
Составное расширение: id[XXXXXXXX-2395].[Unlockfiles@qq.com].Caleb
Записки: info.txt, info.hta
Email: Unlockfiles@qq.com


Обновление от 7 октября 2019:
Пост на форуме >>
Расширение: .Caley
Составное расширение: id[XXXXXXXX-2414].[kickclakus@protonmail.com].Caley
Записки: info.txt, info.hta
Email: kickclakus@protonmail.com, kickclak@cock.li

Результаты анализов: VT

Обновление от 8 октября 2019:
Топик на форуме >>
Расширение: .Adame
Составное расширение: id[XXXXXXXX-2275].[checkcheck07@qq.com].Adame
Записки: info.txt, info.hta
Email: checkcheck07@qq.com
Результаты анализов: VT

Обновление от 9 октября 2019:
Пост на форуме >>
Расширение: .deal
Составное расширение: id[XXXXXXXX-2423].[relvirosa1981@aol.com].deal
Записки: info.txt, info.hta
Email: relvirosa1981@aol.com
Результаты анализов: VT

Обновление от 11 октября 2019:
Топик на форуме >>
Расширение: ???
Составное расширение: id[XXXXXXXX-2010].[debourbonvincenz@aol.com].???
Записки: info.txt, info.hta
Email: debourbonvincenz@aol.com, cosmecollings@aol.com
Jabber: phobos_healper@xmpp.jp 
➤ Содержание HTA-записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail debourbonvincenz@aol.com
Write this ID in the title of your message B4A1205B-2303
In case of no answer in 24 hours write us to this e-mail:cosmecollings@aol.com
If there is no response from our mail, you can install the Jabber client and write to us in support of phobos_healper@xmpp.jp 
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/ 
After installation, the Pidgin client will prompt you to create a new account. 
Click "Add"
In the "Protocol" field, select XMPP 
In "Username" - come up with any name 
In the field "domain" - enter any jabber-server, there are a lot of them, for example - exploit.im 
Create a password
At the bottom, put a tick "Create account" 
Click add 
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data: 
User password 
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below) 
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 


Обновление от 13 октября 2019:
Пост в Твиттере >>
Расширение: .Adame
Составное расширение: .id[XXXXXXXX-2275].[checkcheck07@qq.com].Adame
Записки: info.txt, info.hta
Email: checkcheck07@qq.com
Результаты анализов: VT + VMR / VT + VMR






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID a Phobos)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, quietman7, BleepingComputer
 Andrew Ivanov (author), GrujaRS, Emmanuel_ADC-Soft
 (victims in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

70 комментариев:

  1. ID-B29F1C2B.[raphaeldupon@aol.com].phobos

    in Brazil

    ОтветитьУдалить
  2. Hello,

    I was attacked by the ramsonware ID-E88766C9.[Raphaeldupon@aol.com].phobos could send me the decryptor.

    Thank you
    Ayman
    eddyayman@gmail.com

    ОтветитьУдалить
    Ответы
    1. I do not have a decryptor. You need to follow the results in the support topic.
      https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/
      Perhaps researchers and developers will be able to create a decryptor. In any case, I hope and you also need to hope.

      Удалить
  3. Time FIX.txt.ID-F8A0D13C.[gomer_simpson2@aol.com].phobos

    ОтветитьУдалить
  4. ID-069176CF.[elizabeth67bysthompson@aol.com].phobos

    ОтветитьУдалить
  5. Add taverptintra1985@aol.com please. We successfully restore data with ShadowCopyView - https://www.nirsoft.net/utils/shadow_copy_view.html

    ОтветитьУдалить
  6. taverptintra1985@aol.com - Whose address is it?

    ОтветитьУдалить
  7. Add ID-C602BF82.[withdirimugh1982@aol.com].Frendi

    https://forums.malwarebytes.com/topic/245087-phobos-ransomware-thru-malwarebytes-premium-infected/

    Located Phobos branded ransomware on Windows Server 2008r2.
    Process Hacker located in filesystem, with Threat identified as: Hacktool.ProcHack!g1
    Dharma / Phobos with .FRENDI file extensions.

    I've attempted multiple times to get Malwarebytes and Malwarebytes Chameleon to load correctly, but they all fail install; OR, install, but do not allow premium features (real time protection) to turn on.
    Have checked with the MalwareHunterTeam website, uploaded the .hta ransom note there, and it came back as 1) Dharma, and 2) Phobos. Additionally, all the files are labeled as 'FRENDI' files, and are labeled ID-C602BF82.[withdirimugh1982@aol.com].Frendi.

    I've located a hidden folder under the C drive that I didn't make, it has 2 files in it and is labeled:
    C:\Recovery\36db1731-fe3f-11e7-8c3b-fd77c61fa398\
    file 1: boot.sdi.ID-C602BF82.[withdirimugh1982@aol.com].Frendi [3,865KB]
    file2: Winre.wim.ID-C602BF82.[withdirimugh1982@aol.com].Frendi [165,213KB]

    Safe mode with networking was able to locate and use cmd.exe command "compmgmt" to open the computer management and check system logs.
    Was running non-standard RDP port.
    Was running fully updated and licensed Malwarebytes Premium 3.xx
    System logs: security log full with ~29 minutes of continuous RDP attack, not sure how long before this the attack started. System hit with RDP attack and ended up causing a bluescreen event. Injected attack started after that.

    ОтветитьУдалить
    Ответы
    1. Thank you. We will add this information.
      It would be good if you send us a ransom notes files - txt and hta.
      Use a service www.sendspace.com

      Удалить
  8. Ответы
    1. Oi! O que está escrito à esquerda dos colchetes - []?
      Hi! What is written to the left of the brackets - []?

      Удалить
  9. Can you add too ?

    id[2E3DC902-1044].[christosblee@aol.com].phobos

    ОтветитьУдалить
  10. Here's another one from June 3rd :

    3EC9E72B-1022

    file.txt.id[3EC9E72B-1022].[simonsbarth@aol.com].phobos

    ОтветитьУдалить
  11. Этот комментарий был удален автором.

    ОтветитьУдалить
  12. 21,06.2019
    My server was hacked too.
    file.txt.id[886E9C2B-2250].[wewillhelpyou@qq.com].adage

    I try to debbuging the virus file (I have ph_exec.exe). But no success yet.
    I have read the posts of bleepingcomputer.com forum. And there are few information about how it works.
    IMHO when the ransomware software works in the system, both of keys: AES to encrypt files, and RSA to encrypt AES key, must be in the memory.

    ОтветитьУдалить
    Ответы
    1. Thanks for the info. Visit sometimes support topic to keep abreast of the news.

      Удалить
  13. 28.06.2019

    file.txt.id[54DA894D-1055].[hartpole.danie@aol.com].help
    file.txt.id[0EF70217-1055].[hartpole.danie@aol.com].help

    Suspicious file (svchost.exe)

    ОтветитьУдалить
  14. Giúp mình với Bạn ơi id[6A42B810-2242].[Keta990@protonmail.com].adage

    ОтветитьУдалить
    Ответы
    1. Đối với Phobos không có bộ giải mã miễn phí.
      For Phobos there are no free decoders.

      Удалить
  15. July 14 2019, Adame Extension
    I.D [30D46A02-2275]
    [supportcrypt2019@cock.li]

    Please help! I really need my file back, its for my school project T-T

    ОтветитьУдалить
    Ответы
    1. We do not have a solution to this problem. For Phobos are no free file decryptors.
      https://support.emsisoft.com/topic/31491-supportcrypt2019cockliadame/

      Удалить
  16. Hello

    My server was encrypted bythe rawansome phobos - every file on the server is encrypted. I can not run any file from outer localization, because after connecting anything (pendrive) is encrypted.
    After the attack, the server has a file with a ransom note and an ID for decrypted, and an open window of the NlBrute KeyGen program, which wanted to give him the ID. After entering the ID, the program generated the Key.txt file with 512 characters, I managed to open the file before it was encrypted. Is this string a key for decrypting data? Is it possible to decrypt the data using this char chains?
    All files have the name: name.id[9AA4D60B-2250].[wewillhelpyou@qq.com].adage

    ОтветитьУдалить
    Ответы
    1. This program could be the cause of the encrypter’s attack. She could be in some other file that was run before that.

      Удалить
  17. I have no idea which side the attack come from. This is a small company server and only works as a sql database.
    Do the file key.txt with 512 number chars is useless or useful for decryption?

    ОтветитьУдалить
    Ответы
    1. I can not say for sure, only supposedly, this file contains the key that is needed to identify the victim and decrypt files.
      For all questions please contact support topic. There are many own and external specialists. https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

      Удалить
  18. Could you add this "Banjo" thing too, it's a part of Phobos family:

    filename.id[66152CEB-2288].[2172998725@qq.com].banjo

    It infected my laptop as well as my only backup drive which was connected at the time of the attack. So I'd appreciate if you notify when any solution comes up with this Banjo extension.

    ОтветитьУдалить
    Ответы
    1. OK. I added. Previously and at the moment there is no known way to decrypt files after an attack by Phobos Ransomware. This is checked regularly as the current version or a new version of the encryptor is released.
      None of those involved in decrypting files after an attack by ransomware has not yet published a decryptor or method that allows you to decrypt files or otherwise return information from files after a Phobos attack.
      If you will search for new information on the Internet, then consider the following: many sites that Google gives in search results make public disinformation and offer to download fake decryption tools.

      Удалить
  19. OK Thanks. Also I want to ask that if some victim of Phobos gets the Decryptor Tool in return of money, and then shares it with other victims, would it work for others as well? If this is the case, we can be hopeful for the future. But also in this case, the criminals might not provide the tool when they got the money.

    ОтветитьУдалить
    Ответы
    1. Not. This will not help. We have already seen several options for the original decryptors. Decryption keys are unique to each victim.

      Удалить
    2. In best case, we must hope that someday the servers of the extortionists will be arrested and all keys for all the victims will be there. But actually it is unrealistic. As in the lottery, a happy event is impossible for all victims.

      Удалить
    3. OK then, how can the tools published by Europol (or Kaspersky) be used by different victims? Like the ones here https://www.nomoreransom.org/en/decryption-tools.html

      Удалить
    4. For Phobos Ransomware they have no decryptors.

      Удалить
  20. Thank you to everyone that has contributed here. I got blasted with this today in the middle of a backup of my data. So I don't know if my backup has been compromised, or if the backup was done before the encryptionprocess started.

    I am hoping someone has some knowledge it experience. Does anybody know if they are willing to negotiate at all? I mean, I would happily pay the total to get everything back... Unfortunately, I have cancer and kidney failure, and I desperately need documents from my computer to continue getting my treatments.

    If anybody has any suggestions at all, I mean, I have some money, but it is only about 20% of their asking price. Normally, it wouldn't matter because it is just information, but we recently had a house fire and it was in the room with all of my medical documentation, so all I had left are the copies on my computer, and I am really scared if I can't get my documents back.

    Please, any help at could literally save my life if I can't get all of my documents somewhere else.

    Thank you in advance!

    ОтветитьУдалить
    Ответы
    1. Officially, only some options can be decrypted. Others are not yet possible. You can tweet to Michael to show him your files. https://twitter.com/demonslay335

      Удалить
  21. Hello, was also infected.
    id[CE893895-2275] . [raynorzlol@tutanota.com] . Adame

    ОтветитьУдалить
  22. please add
    id-AAB50500.[DonovanTudor@aol.com].com2

    ОтветитьУдалить
    Ответы
    1. It looks like Dharma. They with Phobos can have identical email-addresses.

      Удалить
  23. Id[160A8D20-2275].[recovermyfiles2019@thesecure.biz].Adame

    ОтветитьУдалить
  24. September 1, 2019 Ransoware attacked my Lenovo, the machine immediately shut down during external disk encryption, info text, and a blackmail message not found at all.
    I have a dual boot, so I deleted windows ntfs and continue surfing further ..

    id[80602700-2275].[recovermyfiles2019@thesecure.biz].Adame

    ОтветитьУдалить
    Ответы
    1. There is no way to decrypt files. For it need private keys for decryption. Only extortionists have them.

      Удалить
  25. id[760CE31F-2275].[recovermyfiles2019@thesecure.biz].Adame

    ОтветитьУдалить
  26. Citradream.docx.id [48E57050-2220] . [returnmefiles@aol.com] .actor.
    help me??

    ОтветитьУдалить
    Ответы
    1. There is no way to decrypt files. For it need private keys for decryption. Only extortionists have them.

      Удалить
  27. C42 42 G1.pdf.id[64AC3E68-1150].[onlyfiles@aol.com].Barak
    help

    ОтветитьУдалить
    Ответы
    1. There is no way to decrypt files. For it need private keys for decryption. Only extortionists have them.

      Удалить
  28. How to decrypt files affected from .ADAME virus? I have no file with ransome note...

    ОтветитьУдалить
    Ответы
    1. There is no way to decrypt files. For it need private keys for decryption. Only extortionists have them.

      Удалить
  29. 27 september 2019
    [xxxxxxxx-2275].[recovermyfiles2019@thesecure.biz].Adame
    Happen
    by a software named RUFUS from torrent it was like opening multiple folder named 1 2 3
    the my pc rans slow
    i just restart my PC
    then in the task manager i just go to startup tab and disable following programs like
    - UIDtP
    - Scxz
    - HJGDF
    - Svchost

    and i just turned on my Windows Security in win 10
    the it stopped encoded more files and not given any caution on screen
    but it still infected about 50 % of my data

    ОтветитьУдалить
    Ответы
    1. The situation is complicated. There is still no good news. There are no decoders other than those offered extortionists.

      Удалить
    2. i am crrently student of IT department
      So i want to know when they encryp our files
      what type of encription they use and is the key they use for encription same for all files?
      and is there any tool for to check is there is any simmilaties between two files with same extention so by removing them can we get the orignal
      and what is the best software for hex editting

      Удалить
    3. You better talk with experts on the forum
      https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton