SAD Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: SAD Ransomware. На файле написано: tGVkDTIb.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение, взятое из персонального ID жертвы, которое можно записать как .<personal_ID> или .<hex_ID>
Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
_HELPME_DECRYPT_.txt - текстовый файл
_HELPME_DECRYPT_.html - HTML-файл (веб-страницf)
_HELPME_DECRYPT_.hta - HTA-файл (веб-приложение)
_HELPME_DECRYPT_.bmp - файл изображения для обоев
-- ALL YOUR FILES HAVE BEEN ENCRYPTED --
All of your data(photo, documents, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
It means that you will not be able to accsess your files anymore until they´re decrypted.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The only one way to decrypt your files is to receive the private key and decryption program.
Dont waste your time. No one will be able to recover tem without our decryption service.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don´t know how to get Bitcoins, you can google: 'How to Buy Bitcoins' and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
If you dont know how to create a wallet go to http://blockchain.info/wallet and create a bitcoin wallet.
Need more information about Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
More information about the AES encryption can be found here:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
If you have any questions, write us: decrypt_sad@protonmail.com
YOUR PERSONAL IDENTIFICATION:
51C51342BC305F401E014AAF44A***
Перевод TXT-записки о выкупе:
- ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ -
Все ваши данные (фото, документы, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Это значит, что вы больше не имеет доступ к своим файлам, пока они не будут расшифрованы.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Не тратьте свое время. Никто не сможет восстановить систему без нашей службы расшифровки.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Если вы не знаете, как создать кошелек, перейдите по адресу xxxx://blockchain.info/wallet и создайте биткоин-кошелек.
Вам нужна дополнительная информация о Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
Подробную информацию о AES-шифровании можно найти здесь:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Если у вас есть вопросы, напишите нам: decrypt_sad@protonmail.com
ВАША ПЕРСОНАЛЬНАЯ ИДЕНТИФИКАЦИЯ:
51C51342BC305F401E014AAF44A***
!!! IMPORTANT INFORMATION !!!
SAD RANSOMWARE
YOUR FILES HAVE BEEN ENCRYPTED
More information about Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
More details can be found in _HELPME_DECRYPT_.txt file
wich you can find on your desktop.
Your Personal ID:
E7A96F1D735F84C7CE636EF0E1C442***
Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
SAD RANSOMWARE
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Информация о биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Подробности можно найти в файле _HELPME_DECRYPT_.txt
который можете найти на рабочем столе.
Ваш Персональный ID:
E7A96F1D735F84C7CE636EF0E1C442***
SAD RANSOMWARE
YOUR FILES ARE ENCRYPTED!
If you want to restore your files, you need to buy the decrypter!
If you want to buy the decrypter, click the button below
[Yes, I want to buy] -> URL: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Перевод записки на русский язык:
SAD RANSOMWARE
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Если хотите вернуть свои файлы, вам нужно купить декриптер!
Если хотите купить декриптер, кликните на кнопку
[Да, я хочу купить] -> ссылка: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
SAD RANSOMWARE Instructions
SAD RANSOMWARE
Instructions
All of your files(documents, photos, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don't know how to get Bitcoins, you can google: "How to Buy Bitcoins" and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins.
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Перевод записки на русский язык:
SAD RANSOMWARE инструкции
SAD RANSOMWARE
инструкции
Все ваши файлы (документы, фото, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина.
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
📢 Зашифровав файлы, SAD Ransomware проигрывает короткий звуковой сигнал.
Список файловых расширений, подвергающихся шифрованию:
... .cer, .DEU, .der, .jpg, .jepg, .gif, .htm, .html, .ini, .manifest, .pak, .pdf, .sig, .TXT, .txt, .url, ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Liesmich.htm.<personal_ID>
ReadMe.htm.<personal_ID>
_HELPME_DECRYPT_.txt
_HELPME_DECRYPT_.html
_HELPME_DECRYPT_.hta
_HELPME_DECRYPT_.bmp
tGVkDTIb.exe
picture.exe
<random>.exe
Расположения:
\Desktop\_HELPME_DECRYPT_.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Email: decrypt_sad@protonmail.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
© Amigo-A (Andrew Ivanov): All blog articles.
tGVkDTIb.exe
picture.exe
<random>.exe
Расположения:
\Desktop\_HELPME_DECRYPT_.txt
\Desktop\_HELPME_DECRYPT_.html
\Desktop\_HELPME_DECRYPT_.hta
\Desktop\_HELPME_DECRYPT_.bmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Email: decrypt_sad@protonmail.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as SAD) Write-up, Topic of Support *
Thanks: Leo Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
