Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

суббота, 30 декабря 2017 г.

Bitcoin666

Bitcoin666 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Bitcoin666, но в записке не указано. На файле написано: bitcoin666.exe. Номер версии: 2.1.0.0.

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Variant.Ransom.HiddenTear.1

© Генеалогия: HiddenTear >> Bitcoin666

К зашифрованным файлам добавляется составное расширение: .bitcoin666@cock.li.word

Этимология названия:
Был такой сайт bitcoin666.org. Сейчас отключен. Видимо вымогатели позаимствовали это название.

Активность этого крипто-вымогателя, судя по выплатам, пришлась на январь-февраль 2018 г. Штамп времени 30 декабря 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover Files.TXT

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола:

Содержание записки о выкупе:
PC id: ***
ATTENTION!!! All your files are encrypted.
If you want to get your files back, you should pay me 0.3 BTC on the following address:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
You have only 24 hours since you received that e-mail, after that price will be 0.4BTC.
To prove that we can bring back your files, attach a file between 1~5mb to be decoded.
After recieving your payment I'll send you a simple program and encryption key for it.
NoterTrying to recover your files with another program may result in a fatal loss of all your files. Only the original decoder and key can bring all your files back.
You can buy bitcoins here: https://localbitcoins.com
Here's a FAQ how to buy and send bitcoins (any language):https://localbitcoins.com/faq
(P.S. NO EXCEPTIONS WILL BE MADE. EVERYONE HAVE TO PAY.)
Write us: bitcoin666@cock.li or ap0calypse@india.com

___
Красным цветом выделены слова с ошибками.

Перевод записки на русский язык:
ПК id: ***
ВНИМАНИЕ!!! Все ваши файлы зашифрованы.
Если вы хотите вернуть свои файлы, вы должны заплатить мне 0,3 BTC на следующий адрес:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
У вас есть только 24 часа с момента получения этого email, после чего цена будет 0,4BTC.
Чтобы доказать, что мы можем вернуть ваши файлы, прикрепите файл размером 1~5 мб для декодирования.
После получения вашего платежа я пришлю вам простую программу и ключ шифрования.
Не пытайся восстановить ваши файлы с помощью другой программы может привести к фатальной потере всех ваших файлов. Только оригинальный декодер и ключ может вернуть все ваши файлы обратно.
Вы можете купить биткоины здесь: https://localbitcoins.com
Вот часто задаваемые вопросы о том, как купить и отправить биткоины (на любом языке): https://localbitcoins.com/faq
(P.S. НИКАКИХ ИСКЛЮЧЕНИЙ НЕ БУДЕТ. ВСЕ ДОЛЖНЫ ПЛАТИТЬ.)
Пишите нам: bitcoin666@cock.li или ap0calypse@india.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.bat, .cab, .dat, .dll, .log, .msi, .txt, .xml, .zip и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover Files.TXT
bitcoin666.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitcoin666@cock.li, ap0calypse@india.com
BTC: 1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *

пятница, 29 декабря 2017 г.

MadBit

MadBit Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отображается на экране с заголовком "madbit encryptor: Hello, you are encrypted!" и не сохраняется в текстовый файл.

Содержание записки о выкупе:
***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<<
***After payment we will send you the decryption tool ,that will decrypt all your files.***
===FREE DECRYPTION AS GUARANTEE===
===Before paying you can send to us up to 1 files for free decryption===
Please note: that files must NOT contain valuable information and their total size must be less than 1Mb
=== Important information ===
YOUR COMPUTER UID : ***
COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru
================================================
***!WARNING!***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===

Перевод записки на русский язык:
*** !ВНИМАНИЕ! ***
*** ВАШ КОМПЬЮТЕР ИНФИЦИРОВАН ***
*** ВСЕ БАЗЫ ДАННЫХ, САЙТЫ И ДОМАШНИЕ ФАЙЛЫ ПОЛЬЗОВАТЕЛЕЙ ЗАШИФРОВАНЫ ***
================================================
>>> Вам надо заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам <<<
*** После оплаты мы отправим вам инструмент дешифровки, который дешифрует все ваши файлы. ***
=== БЕСПЛАТНОЕ ДЕШИФРОВАНИЕ КАК ГАРАНТИЯ ===
=== Перед оплатой вы можете прислать нам 1 файл для бесплатной дешифровки ===
Заметьте: файлы не должны быть содержать ценную информацию и быть меньше 1 Мб
=== Важная информация ===
ВАШ UID КОМПЬЮТЕРА: ***
КОПИРУЙ И ОТПРАВЬ ВАШ UID НА EMAIL : adaline.lowell.85@mail.ru
================================================
*** !ВНИМАНИЕ! ***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsProcessor.exe (Cmd.Exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adaline.lowell.85@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as MadBit)
 Write-up, Topic of Support
 *

 Thanks: 
 S!Ri
 Michael Gillespie
 Andrew Ivanov
 *

вторник, 26 декабря 2017 г.

Rozlok

Rozlok Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на почту, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: enbild.exe или что попало.

Обнаружения:
DrWeb -> Trojan.Encoder.24132
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok
Ещё один украинский вымогатель, пытающийся писать по-русски.

Этимология названия:
Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro.

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Все ваши файлы и данные зашифрованны.Для дешифровки свяжитесь с нами : rozlok@protonmail.com .Чем дольше мы ждём-тем больше.Вам придёться заплатить.

Перевод записки на НОРМАЛЬНЫЙ русский язык:
Все ваши файлы и данные зашифрованы. Для дешифровки свяжитесь с нами: rozlok@protonmail.com . Чем дольше мы ждём, тем больше Вам придётся заплатить.

Translation into English:

All your files and data are encrypted. For decryption please contact us: rozlok@protonmail.com. The longer we wait, the more you will have to pay.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

Подробности по пропуску файлов и папок см. в статье Pulpe Ransomware.
Всё, по всей видимости, аналогично.

Файлы, связанные с этим Ransomware:
Instruction.txt
<random>.exe
enbild.exe

Файлы-источники (позже тоже были зашифрованы):
enbild.exe.aes
enbild.exe_pass_123.zip.aes

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt
\ProgramData\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rozlok@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support + later Topic
 🚫 В 1-й теме помощи ошибочно назван как Vortex.

 Thanks: 
 Пострадавшим из темы поддержки
 Alex Svirid
 Andrew Ivanov (author)
 *

Tastylock CryptoMix

Tastylock CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: 1tasty.exe.

© Генеалогия: CryptoMix >> CryptoMix Revenge > Tastylock Cryptomix

К зашифрованным файлам добавляется расширение .tastylock

Примеры зашифрованных файлов:
30A877A2136A7E24D444157B15AE5D3C.tastylock
5ABF69D81E581666A4EAB15C2080F86E.tastylock
067CAA001A4D3B12F9F317001D5B1BFE.tastylock

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
All you files an encrypted!
For decrypt write DECRYPT ID to t_tasty@aol.com
YOU DECRYPT-ID-%s number
!!!ATTENTION!!!
Do not change!
Do not move files!
Do not use other programs (they do not work)!
You can lose your files if you do not follow the instructions!

Перевод записки на русский язык:
Все твои файлы зашифрованы!
Для дешифровки напиши DECRYPT ID на t_tasty@aol.com
Твой DECRYPT-ID-%s number
!!!ВНИМАНИЕ!!!
Не менять!
Не перемещайте файлы!
Не используйте другие программы (они не работают)!
Ты можешь потерять твои файлы, если ты не следуешь инструкциям!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
1tasty.exe
<random>.exe
BC8E11C52E.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
%ALLUSERSPROFILE%\BC8E11C52E.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: t_tasty@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 *

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 *
 *

Это 900-й пост в блоге!!!

Pulpy

Pulpy Ransomware

Aliases: ShiOne, Rasoon

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные на сайтах с помощью AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на email вымогателей, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: 1d Ptin.exe или enbild.exe.

Обнаружения:
DrWeb -> Trojan.Encoder.24132, Trojan.Encoder.24131
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok

Этимология названия:

Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro.

К зашифрованным файлам добавляется расширение .AES

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hi, all your files have been encrypted. You can decipher if you write to me on the mail:pulpy2@cock.li Otherwise, all your files will be deleted within 2 days without any problems!

Перевод записки на русский язык:
Привет, все ваши файлы зашифрованы. Вы можете расшифровать, если напишите мне на почту: pulpy2@cock.li Иначе все ваши файлы удалятся через 2 дня без проблем!

Другой вариант записки о выкупе был немного короче:
Hi all your files are encrypted, to decrypt all your files write to us on the mail: pulpy@protonmail.ch

Перевод другой записки на русский язык:
Привет все ваши файлы зашифрованы, для дешифровки всех ваших файлов пишите нам на email: pulpy@protonmail.ch

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Также используются названия: ShiOne, Pulpy, Rasoon. Согласно сообщению и статье.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

При поиске пропускаются папки, в имени которых есть:
Program Files
ProgramData
C:\Users\All Users\Microsoft
AppData
C:\Drivers
Windows
WINDOWS
windows
\Desctop - с ошибкой вместо Desktop, поэтому на реальном Рабочем столе файлы будут зашифрованы

При поиске пропускаются также файлы с расширениями:

.aes, .ani, .CAB, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dmp, .drv, .hlp, .icl, .ico, .icons, .lnk, .mod, .msp, .msstyles, .ocx, .rtp, .settingcontent-ms, .sys, .SYS, .themepack и файлы bootmgr, BOOTNXT

Не шифрует файлы, которые находятся в следующих директориях:
bootmgr

BOOTNXT
Program Files
Windows
ProgramData
C:\Users\All Users\Microsoft
C:\Users\Default\AppData\Roaming\Microsoft
AppData
AppData\Local\Packages

Не шифруются файлы с расширениями:
.accdb, .b2, .db, .dbf, .mdb, .mdf, .sdf, .sis и размером более 10 Мб.

Файлы, связанные с этим Ransomware:
Instruction.txt
1d Ptin.exe
enbild.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxx://gooool.org/fnu

Email: pulpy2@cock.li
pulpy@cock.li
pulpy@protonmail.ch
См. ниже результаты анализов.

Закрытый статичный RSA-ключ и текст записки:

Результаты анализов:
Ⓥ VirusBay ссылка >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ на сайт и файл >>
IntezerAnalyze >>
ANY.RUN анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 января 2018 / Update on January 26, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: dexp@cock.li
Содержание записки / Contents of note:
Hi, All your files are encrypted. I can only help you, my mail: - Your personal number (send it to me): dexp@cock.li

Обновление от 30 января 2018 / Update on January 30, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: diesel@nuke.africa
Содержание записки / Contents of note:
Hello, all your files are irrevocably encrypted, to restore the data write to me on the mail: diesel@nuke.africa send your personal ID: ***

Вариант, обнаруженный в 2023 году:

Сообщение >>

Доп. название: SULINFORMATICA Ransomware

Расширение: .aes

Записка: Instruction.txt

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 *

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 (victim in the topics of support)
 *

понедельник, 25 декабря 2017 г.

STOP

STOP Ransomware

STOP-Keypass Ransomware

STOP-Djvu Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English Hot-STOP

Variants: .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promoks, .kroput, .pulsar, .kropun, .charck, .klope, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .londec, .krusop, .mtogas, .nasoh, .coharos, .nacro, .pedro, .nuksus, .vesrato, .cetori, .masodas, .stare, .carote, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .kodc, .nosu, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola, .cosd, .ygkz, .cadq, .tirp, .ribd, .reig, .ekvf, .enfp, .ytbn ...

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CFB). Но с сентября 2019 стал использоваться алгоритм RSA. Шифруется не весь файл, а только около 0x500000 байт (~5 Мб) данных в начале каждого файла. Затем требует выкуп в $200-$600 в BTC, чтобы вернуть файлы. Оригинальное название: STOP. На файле написано: что попало. Среда разработки: C++ с компиляцией в MS Visual Studio 2013 (позже стала использоваться версия Visual Studio 2017 или более новая).

Есть данные, что STOP Ransomware с вариантами распространяется из Украины, имеет хорошее прикрытие и устойчивый сервер. С целью обмана злоумышленниками используется русский язык и русские слова, написанные английским буквами, также используются домены, зарегистрированные через российские или иностранные компании-регистраторы. У вымогателей есть пособники и в других странах.

В 2021 году атака этого Ransomware стала сопровождаться установкой на компьютер жертвы вредоносных инфостилеров (Vidar Stealer, Raccoon Stealer), разработка и распространение которых также ведется из Украины.
Не было и нет никаких громких сообщений от правоохранительных органов европейских стран, Европола и Интерпола, видимо они не получали никаких указаний для поиска и ареста вымогателей. Нет никакой надежды, что они когда-либо будут их искать, не получив указаний от руководства, или имеется очень мало обращений от пострадавших, чтобы инициировать расследование. Пишите онлайн-заявление в отдел "К" или полицию в своей стране и регионе.

-------------------------------------------------------------------------------------------

Подробнее о шифровальщиках семейства STOP

➤ Специалисты Dr.Web расшифровали в частном порядке файлы, зашифрованные некоторыми ранними вариантами этого Ransomware. Публичный дешифровщик Dr.Web не выпускали.

➤ Специалист по шифровальщикам Майкл Джиллеспи (США) сумел создать свой дешифратор для некоторых версий и вариантов STOP (puma, djvu, pdff, tro, tfude, rumba и прочих), когда шифровальщик использует для шифрования оффлайн-ключ. Майкл продолжил разработку, когда стал работать в компании Emsisoft, теперь дешифратор называется Emsisoft Decryptor.

➤ Прямые ссылки есть после статьи в разделе "БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS"

© Генеалогия: STOP > SUSPENDED > WAITING > PAUSA > CONTACTUS > DATASTOP > STOPDATA > KEYPASS > WHY > SAVEfiles > DATAWAIT > INFOWAIT > puma, pumax, pumas > shadow > djvu +, pdff, tro, tfude +, rumba, adobe +, blower, promos +, kroput +, charck +, pilsar1, klope, doples, luces +, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, berost, forasom, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, pidon, poret, heroset, boston, myskle, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, darus, tocue, lapoi, todar, dodoc, bopador, novasof, ntuseg, ndarod, access, format, nelasod, mogranos, cosakos, nvetud, lotej, kovasoh, prandel, zatrov, masok, brusaf, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz > gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, nlah, kkll, zwer, nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp и другие.

!!! Новые варианты и способы расшифровки смотрите после основной статьи.
!!! New variants and ways to decrypt, see after the article about the first variant of STOP Ransomware.

Разделение на группы и подгруппы / Division into groups and subgroups:

I. STOP group
STOP subgroup: STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA
KEYPASS subgroup: .KEYPASS, .WHY, .SAVEfiles
DATAWAIT subgroup: .DATAWAIT, .INFOWAIT

II. Puma group: .puma, .pumax, .pumas, .shadow

III. Djvu group
Djvu-1 subgroup: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu
Djvu-2 subgroup: .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee
Promo subgroup: .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .kropun1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden
Drume subgroup: .drume, .tronas, .trosak, .grovas, grovat, roland, refols, raldug, .etols
Guvara subgroup: .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .pidon, .poret, .heroset, .boston, .myskle, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .coharos, .nacro, .pedro, .nuksus, .vesrato, .cetori, .masodas, .stare, .carote, .shariz

IV. Gero group (RSA)
Gero subgroup: .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .mike, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .kodc, .nosu, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp и другие.

-------------------------------------------------------------------------------------------
Обнаружения:
DrWeb -> Trojan.Encoder.26314, Trojan.Encoder.26995, Trojan.Encoder.26996, Trojan.Encoder.27776, Trojan.Siggen8.5440, Trojan.Siggen8.16294, *.16299, *.20167, *.20394, *.21202, *.23665, *.26996, Trojan.MulDrop8.58033, *.58040, Trojan.DownLoader28.16, Trojan.PWS.Stealer.24943, Trojan.Faker.12, Trojan.DownLoader32.53447
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.DownLoader30.31303, Trojan.Ransom.Stop.A, DeepScan:Generic.Ransom.Stop.*, Trojan.GenericKD.31342714, *.31369885, *.31500621, *.31514824, *.31517950, *.31534187, *.31534080, *.31575808, .31691360, *.31787961, *.31789478, *.31806757, *.31809991, *.31822410, *.31823954, *.31838431, *.40765609, *.40841043, *.40878732, *.40887380, *.41139976, *.41149918, *.41197210, *.41257217, *.41271436, *.41638988,
Kaspersky -> Trojan.Win32.Scar.rmry, Trojan.Win32.Scar.rsps, Trojan-PSW.Win32.Coins.nrc, *.pek, *.qvc, Trojan-Banker.Win32.Jimmy.brm, *.czf, Trojan.Win32.Agent.qwiwes, Trojan.Win32.Chapak.cyho
➤ Подробный список обнаружений см. в конце статьи.

-------------------------------------------------------------------------------------------

Подробнее о первой версии шифровальщика

К зашифрованным файлам добавляется расширение .STOP

Ранняя активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что позволяет распространять его по всему миру.

Ранняя записка с требованием выкупа называлась: !!!YourDataRestore!!!.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .STOP extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email stopfilesrestore@bitmessage.ch send us an email your !!!YourDataRestore!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
E-mail address to contact us:
stopfilesrestore@bitmessage.ch
Reserve email address to contact us:
stopfilesrestore@india.com

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .STOP зашифрованы.
Шифрование выполнено с уникальным секретным ключом RSA-1024, созданным для этого компьютера.
Чтобы расшифровать ваши файлы, вам нужно получить секретный ключ + программу дешифрования.
Чтобы получить секретный ключ и программу дешифрования, вам нужно связаться с нами по email stopfilesrestore@bitmessage.ch, пришлите нам d в вашем письме, пожалуйста, свой файл !!!YourDataRestore!!!.txt и дождитесь дальнейших инструкций.
Для вас, конечно, мы можем расшифровать ваши файлы - вы можете отправить нам 1-3 любых не очень больших зашифрованных файла, и мы отправим вам их обратно в оригинальной форме БЕСПЛАТНО.
Цена для дешифровки $600, если вы обратитесь к нам за 72 часа.
Ваш личный идентификатор:
PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducxxxxx
Email-адрес для связи с нами:
stopfilesrestore@bitmessage.ch
Резервный email-адрес для связи с нами:
stopfilesrestore@india.com

Технические детали

Многие свидетельства говорят, что шифровальщик попадает на компьютер после скачивания и запуска перепакованных и заражённых инсталляторов популярных программ и игр, пиратских активаторов MS Windows и MS Office (KMSAuto Net, KMSPico и пр.), которые злоумышленники распространяют через популярные сайты. Это касается как законно-бесплатных, так и незаконно-бесплатных программ (подробнее).

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net, crackrules[.]com — некоторые сайты-распространители STOP Ransomware. Любая скачанная оттуда программа может быть заражена этим вымогателем.

Наиболее часто страдают от STOP Ransomwre пользователи, которые загружают с этих сайтов и устанавливают ПО KMSPico, Cubase, Photoshop и антивирусные программы. Надо ли говорить, что это опасно? Да, это опасно, взломанное ПО может быть инфицировано!!!

Примеры инфицированных программ на сайтах:
hxxxs://crackithub.com/adobe-acrobat-pro/
hxxxs://crackithub.com/easyworship-7-crack/
hxxxs://kmspico10.com/
hxxxs://kmspico10.com/office-2019-activator-kmspico/
hxxxs://piratepc.net/category/activators/
hxxxs://piratepc.net/startisback-full-cracked/

➤ При запуске проверяет региональную принадлежность ПК через сайт 2ip.ua.
ПК пользователей следующих стран не должны подвергаться шифрованию файлов:
RU: Россия
BY: Беларусь
UA: Украина
AZ: Азербайджан
AM: Армения
TJ: Таджикистан
KZ: Казахстан
KG: Кыргызстан
UZ: Узбекистан

Но во многих случаях эта блокировка не срабатывает и файлы оказываются зашифрованными у пострадавших из этих стран.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Вскоре после запуска исполняемый файл шифровальщика подключается к C&C, получает ключ шифрования и идентификатор заражения для ПК жертвы. Данные передаются по простому HTTP в виде JSON.

➤ Если C&C недоступен (ПК не подключен к Интернету, сам сервер не работает), то шифровальщик использует жёстко закодированные в нём самом ключ и идентификатор, и выполняет автономное шифрование. В этом случае можно будет дешифровать файлы без уплаты выкупа.

➤ Используется алгоритм AES-256 в режиме CFB с нулевым IV и единым 32-байтным ключом для всех файлов. Шифруются максимум 0x500000 байт (~ 5 МБ) данных в начале каждого файла.

➤ Использует rdpclip.exe для замены легального файла Windows и для проведения атаки на компьютерную сеть.
➤ В коде есть гены TeamViewer. В новых версиях может быть что-то еще.
➤ После шифрования файлов шифровальщик самоудаляется с помощью командного файла delself.bat

Список файловых расширений, подвергающихся шифрованию:
Все или почти все популярные форматы.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
!!!YourDataRestore!!!.txt
rdpclip.exe
delself.bat
<random>.exe
encrypt.pdb - файл проекта
PersonalID.txt - в более новых версиях

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\delself.bat
C:\SystemID\PersonalID.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: stopfilesrestore@bitmessage.ch
stopfilesrestore@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Некоторые другие более новые образцы можно найти на сайте BA:

hxxs://bazaar.abuse.ch/browse/tag/Stop/

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.

Примечание 1.
В мае 2018 года я обнаружил новый файл шифровальщика и загрузил его на сервисы для анализа. По всей видимости он был выпущен в марте 2018, но ранние версии относятся к декабрю 2017 года.

Результаты анализов: VT + HA + IA + VMRay

Примечение 2.

Online ID (онлайн-идентификатор) используется, когда компьютер подключен к Интернету и ничто не мешает шифровальщику связаться со своим сервером и получить ключ шифрования, случайно сгенерированный на этом сервере.

Встроенный в программу Offline ID (оффлайн-идентификатор) используется, когда компьютер отключен от Интернета и/или связь с сервером программы-вымогателя невозможна.

Про Emsisoft Decryptor и расшифровку лучше прочитать по ссылке >>

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== 2018 ===

Обновление от 10 февраля 2018:
Расширение / Extension: .STOP
Записка / Ransom note: !!!YourDataRestore!!!.txt
Email: stopfilesrestore@bitmessage.ch и stopfilesrestore@india.com
Сумма выкупа: $600
BTC: PmBvvsAauRGDvmMnQdpOFAOyCn5YUsaAducdELub

Сравнение идентификаторов обоих версий

Обновление от 22 февраля 2018:

Топик на форуме / Topic on forum >>
Расширение / Extension: .SUSPENDED
Email: suspendedfiles@bitmessage.ch и suspendedfiles@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note: !!!RestoreProcess!!!.txt
➤ Содержание записки:
All your important files were encrypted on this PC.
All files with .SUSPENDED extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email suspendedfiles@bitmessage.ch send us an email your !!!RestoreProcess!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
5QDwX38ApBptxAvLONsohcyWyDsZhoeW15Gxxxxx
E-mail address to contact us:
suspendedfiles@bitmessage.ch
Reserve email address to contact us:
suspendedfiles@india.com
----------

Обновление от 18 апреля 2018:
Топик на форуме >>
Пост пострадавшего >>
Расширение / Extension: .WAITING
Email: waiting@bitmessage.ch и waiting@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note: !!!INFO_RESTORE!!!.txt

➤ Содержание записки:
All your important files were encrypted on this PC.
All files with .WAITING extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email waiting@bitmessage.ch send us an email your !!!INFO_RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
8AphcBpFgAZhoeW8ApBpBptxAW8FgAeWFgHxxxxx
E-mail address to contact us:
waiting@bitmessage.ch
Reserve email address to contact us:
waiting@india.com
----------

Обновление от 5 мая 2018:
Сообщение / Tweet >>
Расширение / Extension: .PAUSA
Email: pausa@bitmessage.ch, pausa@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom note: !!RESTORE!!!.txt
➤ Содержание записки / Contents of note:
All your important files were encrypted on this PC.
All files with .PAUSA extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email pausa@bitmessage.ch send us an email your !!!RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
22rZV3sUi30y8SUhF1xB1hWqtGsYyUBiFInxxxxx [40 chars]
E-mail address to contact us:
pausa@bitmessage.ch
Reserve e-mail address to contact us:
pausa@india.com
----------

Обновление от 30 мая 2018:

Сообщение / Tweet >>

Расширение / Extension: .CONTACTUS
Email-1: decryption@bitmessage.ch
Email-2: decryption@india.com
Сумма выкупа / Sum of ransom: $600
Записка / Ransom-note: !!!!RESTORE_FILES!!!.txt

➤ Содержание записки / Contents of note:All your important files were encrypted on this PC.
All files with .CONTACTUS extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to CONTACTUS us by email decryption@bitmessage.ch send us an email your !!!RESTORE_FILES!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.
Your personal id:
223sUUrZi3SV1x0y8hsYyUFBqtI1hWnBiFGxxxxx [40 chars]
E-mail address to contact us:
decryption@bitmessage.ch
Reserve e-mail address to contact us:
decryption@india.com

Обновление от 18 июля 2018:
Сообщение >>
Расширение: .DATASTOP
Записка: !!!DATA_RESTORE!!!.txt
Email-1: decryptiondata@bitmessage.ch
Email-2: decryptiondata@india.com

➤ Содержание записки / Contents of note:
All your important files were encrypted on this PC.
All files with .DATASTOP extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email decryptiondata@bitmessage.ch send us an email your !!!DATA_RESTORE!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Your personal id:
***** [40 alphanum]
E-mail address to contact us:
decryptiondata@bitmessage.ch
Reserve e-mail address to contact us:
decryptiondata@india.com
---
*[40 alphanum] — комбинация букв и чисел (алфавит-цифры, буквы-цифры), например: DYByph8YTcW5SRcFDZ4GQdBfG5aOLNF9mFFLgm5R

Обновление от 22 июля 2018:
Расширение: .STOPDATA
Записка: !!!RESTORE_DATA!!!.txt
Email: datadecryption@bitmessage.ch, datadecryption@india.com

➤ Содержание записки / Contents of note:
All your important files were encrypted on this PC.
All files with .STOPDATA extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
To retrieve the private key and decrypt software, you need to contact us by email datadecryption@bitmessage.ch send us an email your !!!RESTORE_DATA!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $200 if you contact us first 72 hours.
Your personal id:
pSRcFGQdBDYBZfaO5DLNLgmF9mFF5Rh84GyYTcW5
E-mail address to contact us:
datadecryption@bitmessage.ch
Reserve e-mail address to contact us:
datadecryption@india.com

Обновление от 9 августа 2018:
Сообщение >>
Расширение: .KEYPASS
Записка: !!!KEYPASS_DECRYPTION_INFO!!!.txt
Email: keypass@bitmessage.ch, keypass@india.com
По данным сервиса ID Ransomware есть пострадавшие из 25 стран: Бразилия, Чили, Вьетнам, США, ОАЭ, Египет, Алжир, Индонезия, Индия, Иран, Польша, Беларусь, Украина и другие.

➤ Содержание записки / Contents of note:
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KEYPASS
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail keypass@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $300.
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
keypass@bitmessage.ch
Reserve e-mail address to contact us:
keypass@india.com
Your personal id:
[redacted 40 alphanum]
---
*[40 alphanum] — комбинация букв и чисел (алфавит-цифры, буквы-цифры), например: DYByph8YTcW5SRcFDZ4GQdBfG5aOLNF9mFFLgm5R

Результаты анализов: VT + HA + IA + VMRay
Статьи по этой версии: BC, SL

✋ Некоторые антивирусные компании и отдельные исследователи заявили, что это "новый" Ransomware. На самом деле это ложь и самопиар, либо заблуждение. Они не отслеживали с декабря прошлого года распространение вредоносов этого семейства Ransomware, а у нас здесь полная выкладка по версиям.

На скриншотах из Intezer-анализа видно, что в коде варианта STOP-KEYPASS тот же код, что и в изначальном Stop Ransomware, его самоназвание также, как у оригинального - Stop.

Обновление от 22 августа 2018:
Сообщение >>
Тоже самое, только изменен email-адрес

Расширение: .KEYPASS

Записка: !!!DECRYPTION__KEYPASS__INFO!!!.txt
Email: BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
keypassdecrypt@india.com

Результаты анализов: VT + AR

Обновление от 21 августа 2018:
Сообщение >>
Расширение: .WHY
Email: decryptionwhy@india.com
BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Записка: !!!WHY_MY_FILES_NOT_OPEN!!!.txt

➤ Содержание записки / Contents of note:
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .WHY
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600.
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Reserve e-mail address to contact us:
decryptionwhy@india.com
Your personal id:
[redacted 40 alphanum]
Результаты анализов: VT

Обновление от 10 сентября 2018:
Расширение: .SAVEfiles
Записка: !!!SAVE_FILES_INFO!!!.txt
Email-1: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
URL: xxxart.pp.ua (193.200.255.27, Украина)

➤ Содержание записки:
WARNING!
Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $500.
This price avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id:[redacted 40 mixed alphanum]
Файл: urpress.exe
Результаты анализов: HA + VT + IA
Подробности:
Эта слегка измененная версия STOP Ransomware теперь распространяется с помощью набора эксплойтов Fallout Exploit Kit, который является обновленной версией набора Nuclear Pack и продается на подпольных форумах. См. также статью на BleepingComputer.com

Обновление от 7 ноября 2018:
Сообщение >>
Пост на форуме >>
🎥 Видеообзор от CyberSecurity GrujaRS >>
Статус: Можно дешифровать файлы!
Расширение: .DATAWAIT
Email-1: BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
Записка: !readme.txt

➤ Содержание записки:
!ATTENTION PLEASE!
Your databases, files, photos, documents and other important files are encrypted and have the extension: .DATAWAIT
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
E-mail address to contact us:
BM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id:
***
Среда разработки: Visual Studio 2017
Оригинальный путь проекта: "C:\Users\w1nax\Documents\Visual Studio 2017\Projects\EncryptionWinAPI\Release\encrypt_win_api.pdb"
Результаты анализов: VT

Обновление от 18 ноября 2018:
Пост в на форуме >>
Статус: Можно дешифровать файлы!
Расширение: .INFOWAIT
Записка: !readme.txt
Email-1: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Email-2: savefiles@india.com
Malicious URL: jordan9908.ru, intersys32.com, paulmcnagets.ru

➤ Содержание записки:
!ATTENTION PLEASE!
Your databases, files, photos, documents and other important files are encrypted and have the extension: .INFOWAIT
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $290 if you contact us first 72 hours.
E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Reserve e-mail address to contact us:
savefiles@india.com
Your personal id:
004pC14sUTfAHWBctu0HASCIEXPjudXuubBpVLBpAGD
Примечание: Прикидывается Windows-обновлением и использует TeamViewer.

Файл: update.exe
Результаты анализов: VT + HA + VMRay

Обновление от 22 ноября 2018:
Пост на форуме >>
Сообщение >>
Расширение: .puma
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
URL: smallcore.ru
Результаты анализов: VT + HA + VB + IA + AR

➤ Содержание записки:
!ATTENTION PLEASE!
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id:***

Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 24 ноября 2018:
Пост на форуме >>
Сообщение >>
Пост на форуме (от 25 апреля 2019) >>
Расширение: .pumax
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Результаты анализов: VT + HA

➤ Содержание записки:
!ATTENTION PLEASE!
Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumax
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original
form FREE.
Discount 50% avaliable if you contact us first 72 hours.

E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id: ***

Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 27 ноября 2018:
Сообщение >>
Расширение: .pumas
Записка: !readme.txt
Email-1: pumarestore@india.com
Email-2: BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

➤ Содержание записки:
!ATTENTION PLEASE!
Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumas
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.
E-mail address to contact us:
pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch
Your personal id:
0082h9uE76Ax*****
---
Статус: Можно дешифровать файлы!
Для шифрования используется XOR. Поэтому для создания потока ключей и расшифровки необходимо иметь пару файлов (оригинальный файл и его зашифрованный вариант).

Обновление от 5 декабря 2018:
Топик на форуме >>
Расширение: .shadow
Записка: !readme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc

➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
To get this software you need write on our e-mail:
helpshadow@india.com
Reserve e-mail address to contact us:
helpshadow@firemail.cc
Your personal ID:
012jxBsekmbsbW******

Обновление от 13 декабря 2018:
Топик на форуме >>
Расширение: .djvu
Это вариант может модифицировать файл hosts.
Записка: _openme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc

➤ Содержание записки:

ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
-------------------------------------------------------------------------------------------
To get this software you need write on our e-mail:
helpshadow@india.com
Reserve e-mail address to contact us:
helpshadow@firemail.cc
Your personal ID:
1shjkfG3kjf48j******
---
Статус: Можно дешифровать файлы!
Варианты Djvu используют Salsa20 с посоленным паролем. Поэтому атака, используемая в случае с вариантами STOP-Puma для извлечения ключей, уж не может быть проведена. Для дешифрования используется другой метод с использованием offline ID и ключа. Есть еще способ восстановления файлов, т.к. они зашифрованы не полностью, но мало шансов для пострадавших самим исправить кучу зашифрованных файлов.

Обновление от 19 декабря 2018:
Пост на форуме >>
Расширение: .djvuu
Записка: _openme.txt
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc

➤ Содержание записки:

ALL YOUR FILES ARE ENCRYPTED

Don't worry, you can return all your files!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information.

You can look online overview decrypt tool:

hxxxs://vimeo.com/306940477

Don't try to use third-party decrypt tools because it will destroy your files.

Discount 50% available if you contact us first 72 hours.

To get this software you need write on our e-mail:

restoredjvu@india.com

Reserve e-mail address to contact us:

restoredjvu@firemail.cc

Your personal ID:

016OHhD5IvvfLF******

Видеоролик показа дешифрования: https://vimeo.com/306940477

Обновление от 23 декабря:
Расширение: .udjvu
Записка: _openme.txt

Обновление от 25 декабря:
Пост на форуме >>
Расширение: .uudjvu
Записка: _openme.txt
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc

Обновление от 27 декабря:
Пост на форуме >>
Расширение: .djvuq
Email-1: restoredjvu@india.com
Email-2: restoredjvu@firemail.cc
Записка: _openme.txt
➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
hxxxs://vimeo.com/306940477
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
019XEtg6TK9aEoH******
Результаты анализов: VT

Обновление от 30 декабря 2018:
Пост на форуме >>
Пост на форуме >>
Расширение: .djvus
Записка: _openme.txt

=== 2019 ===

Обновление от 4 января 2019:
Расширение: .djvur
Записка: _openme.txt
Сумма выкупа: ~500$ в BTC
Email: restoredjvu@india.com
restoredjvu@firemail.cc

➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
hxxxs://vimeo.com/309338421
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
To get this software you need write on our e-mail:
restoredjvu@india.com
Reserve e-mail address to contact us:
restoredjvu@firemail.cc
Your personal ID:
021kXpx7rPU5cXE2lpqa******

Обновление от 7 января 2019:
Расширение: .djvut
Записка: _openme.txt
Email: restoredjvu@india.com
restoredjvu@firemail.cc
Содержание записки, как и прежде.

Обновление от 9 января 2019:
Расширение: .djvup
Записка: _openme.txt
Email: restoredjvu@india.com
restoredjvu@firemail.cc
Содержание записки, как и прежде.

Обновление от 10 января 2019 - это уже было 13 декабря 2018:
Расширение: .djvu
Записка: _openme.txt
Email-1: helpshadow@india.com
Email-2: helpshadow@firemail.cc
Содержание записки, как и прежде.

Обновление от 10 января 2019:
Сообщение >>
Расширение: .pdff
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Первые пострадавшие: Ближний Восток

➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can download video overview decrypt tool:
hxxxs://www.sendspace.com/file/1sg7f3
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
***** [44 chars]

Обновление от 10 января 2019:
Сообщение >>
Расширение: .djvuq
Записка: _openme.txt
Результаты анализов: VT

Новые образцы STOP от 10 января 2019:
Эти варианты могут модифицировать файл hosts.
VT + VT + VT + VT + VT
HA + HA + HA + HA + HA

Обновление от 11 января 2019:
Сообщение >>
Сообщение >>
Расширение: .tro
Это вариант может модифицировать файл hosts (подробное описание).
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc

URL-malware: hxxx://morgem.ru/xxx/
Здесь /xxx/ - реальная директория сайта.
Файл EXE: msoffice.exe

Результаты анализов: VT + VT
Статус: файлы можно дешифровать!

Обновление от 12 января 2019:
Сообщение >>
Расширение: .tfude
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Первые пострадавшие из ЮАР.

Статус: файлы можно дешифровать!

Обновление от 16-17 января 2019:
Расширение: .tfudeq
Расширение: .tfudet
Записка: _openme.txt
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записки аналогичны предыдущему варианту. Добавлена другая ссылка на видео и цена в долларах.

Результаты анализов (расширение .tfudet): VT + VT

Статус: файлы можно дешифровать!

Обновление от 19 января 2019:
Пост на форуме >>
Расширение: .rumba
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Пострадавшие из этих стран: Египет, Греция, Турция, Бразилия, Чили, Эквадор, Венесуэла, Германия, Польша, Украина, Венгрия, Индонезия, Таиланд, Южная Корея, Малайзия... и многие другие.
Вероятно, распространяется как поддельное обновление Windows или со взломанными программами.

Записка: _openme.txt

➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxxs://files.danwin1210.me/uploads/01-2019/Decrypt%20Software%20Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
027Ed2X2xVaP4r9QNbCsbfMv***
Результаты анализов: VT
Статус: файлы можно дешифровать!

Обновление от 23 января 2019:
Пост на форуме >>
Расширение: .adobe
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записка: _openme.txt

➤ Содержание записки:
ALL YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-wlvjUfRfvM
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
028wCwvYIsdzCAQiWEKBLQLuGTfoN12iIWsEuSns***
---
Результаты анализов: VT
Статус: файлы можно дешифровать!

Обновление от 27 января 2019:
Сообщение >>
Расширение: .adobee
Email: pdfhelp@india.com, pdfhelp@firemail.cc
Записка: _openme.txt

Обновление от 3 февраля 2019:
Мой Сообщение >>
Пост на форуме >> Пост на форуме >>
Расширение: .blower
Email: blower@india.com, blower@firemail.cc
Записка: _readme.txt

➤ Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxxs://we.tl/t-1aaC7npeV9
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam/' folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
blower@india.com
Reserve e-mail address to contact us:
blower@firemail.cc
Your personal ID:
030GHsgdfT7878YsY9gsafL***
---
➤ URL malware:
hxxx://rosalos.ug/
hxxx://belyi.ug/
hxxx://newbie.ug/
hxxx://rosalos.ug/***
Другие файлы EXE: 8651.tmp.exe, hehjrebu.exe, install.exe, vsruwcaw.exe
Результаты анализов: VT + VT + HA + VX + VT
Статус: файлы можно дешифровать!

Обновление от 20 февраля 2019:
Топик на форуме >>
Сообщение >>
Расширение: .promos
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

➤ Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxxs://we.tl/t-mlQvroK6UO
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
blower@india.com
Reserve e-mail address to contact us:
blower@firemail.cc
Your personal ID:
033Vvbsh8HaaVTB4x1YEJ5Z***
Статус: файлы можно дешифровать!

Обновление от 28 февраля 2019:
Сообщение >>
Расширение: .promoz
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Статус: файлы можно дешифровать!

Обновление от 1 марта 2019:
Сообщение >>
Пост на форуме >>
Пост на форуме >>
Расширение-1: .promock
Пострадавшие из Венесуэлы
Расширение-2: .promorad
Пострадавшие из Колумбии.
Email: blower@india.com, blower@firemail.cc
Записка: _readme.txt

Статус: файлы можно дешифровать!

Подробности про вариант с расширением .promorad
URL malware: ymad.ug
Зарегистрирован якобы русскими, но из whois-описания видно, что это обман.
Подробности:
hxxx://ymad.ug/tesptc/ck/***
hxxx://ymad.ug/1/***
Результаты анализов: VT + HA + VT + HA
➤ Использует api.2ip.ua для DNS-запросов.
➤ Одновременно распространяет троян-стилер AZORult, предназначенный для кражи конфиденциальной информации. AzoRult собирает огромный "слепок данных" с компьютера жертвы, файлы и личные данные всех пользователей ПК:
- полная информация о системе (список установленных программ, запущенных процессов, имена пользователей, имя компьютера, версия операционной системы);
- технические характеристики железа (информация о видеокарте, CPU, мониторе);
- сохранённые пароли, платежные карты, кукиc, история из более 30 известных браузеров;
- пароли почтовых клиентов, FTP-клиентов, IM-клиентов;
- информация из файлов, включая обычные текстовые;
- файлы мессенджеров (Skype, Telegram);
- файлы игрового клиента Steam;
- учетные данные и файлы более 30 крипто-валютных кошельков;
- учетные данные онлайн-банкинга;
- снимок экрана;
- произвольно заданные оператором файлы по "маске" (например, маска «%USERPROFILE%\Desktop\ *.txt,*.jpg,*.png,*.zip,*.rar,*.doc» означает, что нужно отправить с ПК жертвы все файлы с рабочего стола, которые имеют эти расширения).
Также AzoRult может служить загрузчиком для других вредоносов. Ссылка на статью на английском.
➤ Изменяет host-файл, чтобы заблокировать обновления Windows, антивирусных программ и сайтов, связанных с новостями по безопасности, продажей антивирусного ПО, включая сомнительные и фейковые, предлагающие фальшивое избавление от вредоносных программ. Для этого в host-файл добавляются следующие строки.

Список адресов:

Обновление от 2 марта 2019:
Пост на форуме >>
Расширение: .promok
Пострадавшие из Албании, Индии, Непала и других стран.
Вредоносная деятельность аналогична версии с расширением .promorad.
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Статус: файлы можно дешифровать!

Обновление от 8 марта 2019:
Майкл Джиллеспи обновил дешифровщик на этого семейства
Его Сообщение >>
Добавлены оффлайн ключи для:
- оффлайн ID "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1" (.promoz, .promok, .promorad)
- оффлайн ID "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1" (.promok)

Майкл постоянно собирает данные пострадавших, чтобы находить способы расшифровки тех вариантов, которые не были расшифрованы.
Я написал краткое руководство и перевел все ответы Майкла на русский язык.
Специальная статья: Сбор данных для дешифрования >>

Обновление от 9 марта 2019:
Пост на форуме >>
Расширение: .promorad2
Записка: _readme.txt
Вредоносная деятельность аналогична версии с расширением .promorad.
Статус: файлы можно дешифровать!

Обновление от 12 марта 2019:

Сообщение >>
Расширение: .kroput
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Вредоносная деятельность аналогична версии с расширением .promorad.

➤ Использует api.2ip.ua для DNS-запросов.
➤ Одновременно распространяет троян-стилер AZORult, ворующий конфиденциальную информацию.
➤ Изменяет host-файл, чтобы блокировать обновления Windows и те же сайты, что при и вся подгруппа Promo (см. описание выше у версии с расширением .promorad).
URL malware: hxxx://ymad.ug/***
Информация из URLHaus >>
Результаты анализов: VT

Статус: файлы можно дешифровать!

Обновление от 14 марта 2019:
Сообщение >>
Расширение: .kroput1
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Вредоносная деятельность аналогична версии с расширением .promorad.
➤ Использует api.2ip.ua для DNS-запросов.
➤ Одновременно распространяет троян-стилер AZORult, ворующий конфиденциальную информацию.
➤ Изменяет host-файл, чтобы блокировать обновления Windows и те же сайты, что при и вся подгруппа Promo (см. описание выше у версии с расширением .promorad).

Используется регистратор: www.101domain.ua/ (Украина)

Новый URL malware: hxxx://loot.ug/***
Старый URL malware: hxxx://ymad.ug/***
Результаты анализов: VT + AR + IA

Обновление от 14 марта 2019:
Пост на форуме >>
Расширение: .charck
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновление от 14 марта 2019:
Пост на форуме >>
Расширение: .pulsar1
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновление от 14 марта 2019:
Пост на форуме >>
Сообщение >>
Расширение: .klope
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновление от 15 марта 2019:
Сообщение >>
Расширение: .kropun
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновления от 18 марта 2019:
Сообщение >>
Пост на форуме >>
Расширение: .charcl
---
Пост на форуме >>
Расширение: .kropun1
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновление от 20 марта 2019:
Пост на форуме >>
Сообщение >>
Расширение: .doples
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT

Обновление от 21 марта 2019:
Сообщение >>
Расширение: .luces
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT

Обновления от 22 марта 2019:
Сообщение >>
Расширение: .luceq

---

Сообщение >>
Расширение: .chech
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc

Обновление от 25 марта 2019:
Сообщение >>
Расширение: .proden
Записка: _readme.txt
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT + AR + VMR

Файл host имеет тоже самое содержание, что и в обновлении от 1 марта 2019 (см. выше).

Обновление от 25 марта 2019:
Сообщение >>
Расширение: .drume
Записка: _open_.txt
Email: blower@india.com, blower@firemail.cc
Результаты анализов: VT + AR

Обновление от 25-26 марта 2019:
Пост на форуме >>
Сообщение >>
Расширение: .tronas
Записка: _open_.txt
Email: merosa@india.com, merosa@firemail.cc
Email с ответом (здесь и далее): merosadecryption@gmail.com
Результаты анализов: VT + AR

Обновление от 27 марта 2019:
Пост на форуме >>
Сообщение >>
Расширение: .grovas
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 28 марта 2019:
Сообщение >>
Расширение: .trosak
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Файл EXE: killeryuga.exe
Результаты анализов: VT + AR

Обновление от 30 марта 2019:
Пост на форуме >>
Сообщение >>
Расширение: .grovat
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 2 апреля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .roland
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 4 апреля 2019:
Сообщение >>
Пост на форуме >>
Пост на форуме >>
Расширение: .refols
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 5-6 апреля 2019:
Расширение: .raldug
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 9 апреля 2019:
Пост на форуме >>
Расширение: .etols
Записка: _readme.txt
Email: merosa@india.com, merosa@firemail.cc
Результаты анализов: VT + AR

Обновление от 11 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 065
Расширение: .guvara
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
URL malaware: hxxx://pool.ug/***
URL malaware: hxxx://root.ug/***
Результаты анализов: VT + AR

Обновление от 12 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 066
Расширение: .browec
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Результаты анализов: VT + AR

Обновление от 18 апреля 2019:
Сообщение >>
Топик на форуме >>
Номер версии в ID: 067
Расширение: .norvas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore
Результаты анализов: VT + AR

➤ Содержание записки:
ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxxs://we.tl/t-pPLXOv9XTI
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
vengisto@firemail.cc
Reserve e-mail address to contact us:
vengisto@india.com
Support Telegram account:
@datarestore
Your personal ID:
067vtdsUezls8UewKOimuncHsxHIrDko23pqvlDGbX4DiKTi*****

Обновление от 20 апреля 2019:
Пост на форуме >>
Номер версии в ID: 068
Расширение: .norvas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 21 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 069
Расширение: .moresa
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore
Результаты анализов: VT

Обновление от 23 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 070
Расширение: .verasto
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 25 апреля 2019:
Пост на форуме >>
Сообщение >>
Номер версии в ID: 071
Расширение: .hrosas
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 26 апреля 2019:
Топик на форуме >>
Номер версии в ID: 072
Расширение: .kiratos
Записка: _readme.txt
Email: vengisto@india.com, vengisto@firemail.cc
Telegram account: @datarestore

Обновление от 29 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 073
Расширение: .todarius
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch

Обновление от 30 апреля 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 074
Расширение: .hofos
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch

Обновление от 30 апреля 2019:
Сообщение >>
Топик на форуме >>
Номер версии в ID: 075
Расширение: .roldat
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 2 мая 2019:
Сообщение >>
Пост на форуме >>
Номер версии в ID: 077
Расширение: .dutan
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 4 мая 2019:
Сообщение >>
Топик на форуме >>
Топик на форуме >>
Номер версии в ID: 078
Расширение: .sarut
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR + AR

Обновление от 5 мая 2019:
Пост на форуме >>
Сообщение >>
Номер версии в ID: 079
Расширение: .fedasot
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 6 мая 2019:
Сообщение >>
Расширение: .berost
Номер версии в ID: 080
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 7 мая 2019:
Сообщение >>
Пост на форуме >>
Расширение: .forasom
Номер версии в ID: 081
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Email: mosteros@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 9 мая 2019:
Сообщение >>
Расширение: .fordan
Номер версии в ID: 082
Записка: _readme.txt
Email: vengisto@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 10-11 мая 2019:
Сообщение >>
Сообщение >>
Сообщение >>
Расширения: .codnat, .codnat1
Номер версии в ID: 083
Записка: _readme.txt
Email: mosteros@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR

Обновление от 15 мая 2019:
Сообщение >>
Расширение: .bufas
Номер версии в ID: 084
Записка: _readme.txt
Email: mosteros@firemail.cc, gorentos@bitmessage.ch

Обновление от 16 мая 2019:
Сообщение >>
Расширение: .dotmap
Номер версии в ID: 085
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch

Обновление от 18 мая 2019:
Сообщение >>
Пост на форуме >>
Расширение: .radman
Номер версии в ID: 086
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch

Обновление от 20 мая 2019:
Сообщение >>
Пост на форуме >>
Расширение: .ferosas
Номер версии в ID: 087
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch

Обновление от 22 мая 2019:
Сообщение >>
Пост на форуме >>
Расширение: .rectot
Номер версии в ID: 088
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR

Обновление от 24 мая 2019:
Сообщение >>
Расширение: .skymap
Номер версии в ID: 089
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + VMR

Обновление от 26 мая 2019:
Сообщение >>
Расширение: .mogera
Номер версии в ID: 090
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + AR + HA + IA

Обновление от 28 мая 2019:
Сообщение >>
Расширение: .rezuc
Номер версии в ID: 091
Записка: _readme.txt
Email: bufalo@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление 1 июня 2019:
Пост на форуме >>
Расширение: .stone
Номер версии в ID: 092
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление 2 июня 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .redmat
Номер версии в ID: 093
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление 3 июня 2019:
Сообщение >>
Пост на форуме >>
Расширение: .lanset
Номер версии в ID: 094
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 5 июня 2019:
Пост на форуме >>
Расширение: .davda
Номер версии в ID: 095
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch

Обновление от 5 июня 2019:
Сообщение >>
Расширение: .poret
Номер версии в ID: 096
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT + HA + AR + IA
URL Malware:
hxxx://texet2.ug/tesptc/penelop/***
hxxx://texet2.ug/1/***
hxxx://texet1.ug/***

Обновление от 6 июня 2019:
Сообщение >>
Расширение: .pidon
Номер версии в ID: 097
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 7 июня 2019:
Сообщение >>
Расширение: .heroset
Номер версии в ID: 098
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

Обновление от 8 июня 2019:
Сообщение >>
Пост на форуме >>
Топик на форуме >>
Расширение: .boston
Номер версии в ID: 099
Записка: _readme.txt
Email: stoneland@firemail.cc, gorentos@bitmessage.ch
Результаты анализов: VT

~~Обновление от 8 июня 2019:~~
~~Сообщение >>~~
Расширение: .myskle
~~Номер версии в ID: ?~~
~~Записка: _readme.txt~~
~~Email: stoneland@firemail.cc, gorentos@bitmessage.ch~~
~~Результаты анализов: VT~~

Обновление от 10 июня 2019:
Сообщение >>
Топик на форуме >>
Расширение: .muslat
Номер версии в ID: 100
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos@firemail.cc
Результаты анализов: VT

Обновление от 11 июня 2019:
Сообщение >>
Топик на форуме >>
Расширение: .gerosan
Номер версии в ID: 101
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos@firemail.cc
Результаты анализов: VT

Обновление от 13 июня 2019:
Сообщение >>
Расширение: .vesad
Номер версии в ID: 102
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT

Обновление от 17 июня 2019:
Сообщение >>
Расширение: .horon
Номер версии в ID: 103
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
script.ps1 - сценарий PowerShell
Результаты анализов: VT

Обновление от 19 июня 2019:
Сообщение >>
Расширение: .neras
Номер версии в ID: 104
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT

Обновление от 21 июня 2019:
Сообщение >>
Пост на форуме >>
Расширение: .truke
Номер версии в ID: 105
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT

Обновление от 23 июня 2019:
Сообщение >>
Пост на форуме >>
Расширение: .dalle
Номер версии в ID: 106
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT + VMR

Обновление от 25 июня 2019:
Сообщение >>
Пост на форуме >>
Расширение: .lotep
Номер версии в ID: 107
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ferast@firemail.cc
Результаты анализов: VT

Обновление от 27 июня 2019:
Сообщение >>
Пост на форуме >>
Расширение: .nusar
Номер версии в ID: 108
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Результаты анализов: VT

Обновление от 30 июня 2019:
Сообщение >>
Сообщение >>
Расширение: .litar
Номер версии в ID: 109
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc

Результаты анализов: VT + HA + IA + VMR

Обновление от 1-2 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .besub
Номер версии в ID: 110
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Результаты анализов: VT

Обновление от 5 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .cezor
Номер версии в ID: 111
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 8-9 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .lokas
Номер версии в ID: 112
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 11 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .godes
Номер версии в ID: 113
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
URL: hxxx://bronze2.hk/tesptc/penelop/***
hxxx://bronze1.hk/***
Результаты анализов: VT + VMR

Обновление от 15 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .budak
Номер версии в ID: 114
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 16-18 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .vusad
Номер версии в ID: 115
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 17 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .herad
Номер версии в ID: 116
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 17 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .berosuce
Номер версии в ID: 117
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .gehad
Номер версии в ID: 118
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .gusau
Номер версии в ID: 119
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
URL: hxxx://bruze2.ug/***
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Сообщение >>
Пост на форуме >>
Топик на форуме >>
Расширение: .madek
Номер версии в ID: 120
Записка: _readme.txt
Email: gorentos@bitmessage.ch, varasto@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 20 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .tocue
Номер версии в ID: 122
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 21 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .darus
Номер версии в ID: 121
Записка: _readme.txt
Email: gorentos@bitmessage.ch, ???
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 22 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .lapoi
Номер версии в ID: 123
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 22 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .todar
Номер версии в ID: 124
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 23 июля 2019:
Сообщение >>
Пост на форуме >>
Расширение: .dodoc
Номер версии в ID: 125
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 24 июля 2019:
Сообщение >>
Номер версии в ID: 126
Расширение: .bopador
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 24 июля 2019:
Сообщение >>
Расширение: .novasof
Номер версии в ID:127
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 26 июля 2019:
Сообщение >>
Расширение: .ntuseg
Номер версии в ID:128
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 27 июля 2019:
Сообщение >>
Расширение: .ndarod
Номер версии в ID:129
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 29 июля 2019:
Сообщение >>
Расширение: .access
Номер версии в ID: 130
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + VMR

Обновление от 30 июля 2019:
Сообщение >>
Сообщение >>
Расширение: .format
Номер версии в ID: 131
Записка: _readme.txt

Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Telegram account: @datarestore Mark Data Restore
Результаты анализов: VT + HA + VMR + AR

URL Malware: hxxx://dell1.ug/***

Обновление от 30 июля 2019:
Пост на форуме >>
Сообщение >>
Пост на форуме >>
Расширение: .nelasod
Номер версии в ID: 132
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 31 июля 2019:
Пост на форуме >>
Сообщение >>
Расширение: .mogranos
Номер версии в ID: 133
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 1-2 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .cosakos
Номер версии в ID: 134
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 2 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .nvetud
Номер версии в ID: 135
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 2 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .lotej
Номер версии в ID: 136
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 2 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .kovasoh
Номер версии в ID: 137
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 5 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .prandel
Номер версии в ID: 138
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 5 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .zatrov
Номер версии в ID: 139
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 6 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .masok
Номер версии в ID: 140
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 6 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .brusaf
Номер версии в ID: 141
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 8 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .londec
Номер версии в ID: 141 (да, почему-то не 142)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 11 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .krusop
Номер версии в ID: 143
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 12 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .mtogas
Номер версии в ID: 144
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 13 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .nasoh
Номер версии в ID: 145
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 13 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .coharos
Номер версии в ID: 146 (0146)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 14 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .nacro
Номер версии в ID: 147
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 16 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .pedro
Номер версии в ID: 148
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 17 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .nuksus
Номер версии в ID: 149
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + AR + VT

Обновление от 18 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .vesrato
Номер версии в ID: 150
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 20 августа 2019:
Пост на форуме >>
Пост на форуме >>
Сообщение >>
Расширение: .cetori
Номер версии в ID: 151
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 20 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .masodas
Номер версии в ID: 151
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 22 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: ***
Номер версии в ID: 152
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 22 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .stare
Номер версии в ID: 153
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR

Обновление от 24 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .carote
Номер версии в ID: 154
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR + AR

Обновление от 25 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .shariz
Номер версии в ID: 155
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gorentos2@firemail.cc
Результаты анализов: VT + VMR + AR

Обновление от 25 августа 2019:
Шифрование было изменено. Поэтому теперь STOP-Decrypter не может расшифровать файлы. Во всяком случае, пока не может.
Для тех случаев, когда шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке + >>
Пост на форуме >>
Пост на форуме >>
Сообщение >>
Сообщение >>
Расширение: .gero
Номер версии в ID: 156 (0156)
Записка: _readme.txt
URL: dell1.ug
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT + VT + VT

Обновление от 27 августа 2019:
Пост на форуме >>
Сообщение >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке + >>
Расширение: .hese
Номер версии в ID: 157 (0157)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT

Обновление от 28 августа 2019:
Пост на форуме >>
Сообщение >>
Расширение: .xoza
Номер версии в ID: 158 (0158)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VMR

Обновление от 2-3 августа 2019:
Пост на форуме >>
Сообщение >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Расширение: .seto
Номер версии в ID: 159 (0159)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
URL video overview decrypt tool:
hxxxs://we.tl/t-yKBR9rlo6R
hxxxs://gofile.io/***
Результаты анализов: VT + VT + VT

Обновление от 3-4 сентября 2019:
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке + >>
Расширение: .peta
Номер версии в ID: 160 (0160)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc

Обновление от 5 сентября 2019:
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке + >>
Расширение: .moka
Номер версии в ID: 161 (0161)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT

Обновление от 9 сентября 2019:
Сообщение >>
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке + >>
Расширение: .meds
Номер версии в ID: 162
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT + VT + VT + VT

Обновление от 15 сентября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .kvag
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >> + >>
Номер версии в ID: 163 (0163)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VMR + VT + VT

Обновление от 17 сентября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .domn
Номер версии в ID: 164 (0164)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT + VT + VT + VT

Malware URLs:
hxxx://dell1.ug/files/cost/***
hxxx://interfaithretreats.net/***

Обновление от 21 сентября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .karl
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Номер версии в ID: 165 (0165)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VMR

Обновление от 23 сентября 2019:
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Расширение: .nesa
Номер версии в ID: 166 (0166)
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT

Обновление от 29 сентября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .boot
Номер версии в ID: 167 (0167)
Пример ID: 0167A73uHsdfs891cVIoy5Qlf7gx5o8J8Rb21M51plKu9Fm5FCghrLq
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
Результаты анализов: VT + VT

Обновление от 2 октября 2019:
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Расширение: .noos
Номер версии в ID: 168 (0168)
Пример ID: 0168Hhhsd6ydP1bsd6TfaKPtRqUuDJqW6WKc8W21ohh1Fbp0REA0Iz1
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentosrestore@firemail.cc
Результаты анализов: VT + VMR

Обновление от 1-2 октября 2019:
Сообщение >>
Пост на форуме >>
Пост на форуме >>
Расширение: .kuub
Номер версии в ID: 169 (0169)
Пример ID: 0169HydPhhsdNu07xVPbAYdhVxRiFcfZrdxMmK8tj98YtV09GpgL
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentosrestore@firemail.cc
Результаты анализов: VT + VMR

Обновление от 5 октября 2019:
Сообщение >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Расширение: .reco
Номер версии в ID: 170 (0170)
Пример ID: 0170Hf73y87gsoarWG3LbaElDn092UOS6IvTvgT0Fx6XWoX9zoxSB
Записка: _readme.txt
Email: gorentos@bitmessage.ch, gerentosrestore@firemail.cc
Результаты анализов: VT + VT

Обновление от 7 октября 2019:
Сообщение >>
Пост на форуме >>
Если шифрование было сделано с помощью оффлайн-ключа, можно использовать дешифровщик по ссылке >>
Расширение: .bora
Номер версии в ID: 171 (0171)
Пример ID: 0171mHffOe9i9yrZqk4KycMHjhJ8ROkjt88lc5Uptkrw1Ofq3
Пример ID: 0171mHffO5PgpqzSRFybNF0LZtqlVNz33TBxgWe7qo9cu9Nt1
Записка: _readme.txt
Email: gorentos@bitmessage.ch, amundas@firemail.cc
Результаты анализов: VT + VT

Обновление от 15-16 октября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .leto
Номер версии в ID: 172 (0172)
Пример ID: 0172au5ewgSYfg72yLPMpAQroN0dKOs3a8xmHSQszSyZhuZdcsletot1
Записка: _readme.txt
Email: gorentos@bitmessage.ch, amundas@firemail.cc
Результаты анализов: VT

Обновление от 21 октября 2019:
Сообщение >>
Расширение: .nols
Номер версии в ID: 173 (0173)
Пример ID: 0173HfgZPaqu1khEKiC2vLQGY1odGc9O7BKepbfURA1wlryvB
Записка: _readme.txt
Email: gorentos@bitmessage.ch, amundas@firemail.cc
Результаты анализов: VT

Обновление от 21 октября 2019:
Сообщение >>
Расширение: .werd
Номер версии в ID: 174 (0174)
Пример ID: 0174HfghPaEZqu1kKiCG2vLQYGc91odO7BbfURAKep1wyvlrB
Записка: _readme.txt
Email: gorentos@bitmessage.ch, amundas@firemail.cc
Результаты анализов: VT

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .coot
Номер версии в ID: 175 (0175)
Пример ID: 0175HfPaEghZk1oKQYGiCGqu12vLc9dO7BbfURAKep1wyvlrB
Записка: _readme.txt
Email (новые): salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com
Результаты анализов: VT + HA + IA + AR + AR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .derp
Номер версии в ID: 176 (0176)
Пример ID: 0176Asd374y5iuhldciTvqeCet2o4ypDILokIF7c1xkE0FLtplPBhRsPX
Записка: _readme.txt
Email: salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com
Результаты анализов: VT

Обновление от 29 октября 2019:
Сообщение >>
Расширение: .nakw
Записка: _readme.txt
Номер версии в ID: 177 (0177)
Пример ID: 0177yTsgdPgdakFTtwmXvqdOCzYblLAI8Rw1PXQ7hzVfLqfX5rian
Email: salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com
Еще текстовые файлы: bowsakkdestx.txt, personalid.txt
Результаты анализов: VT

Обновление от 2 ноября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .meka
Записка: _readme.txt
Номер версии в ID: 178 (0178)
Пример ID: 0178Asd374y5iuhlduxTOeBiz9cX5kK5QMGcE2ybA0QByh4owcqjslcrn
Email: salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com
Результаты анализов: VT

Обновление от 3 ноября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .toec
Записка: _readme.txt
Номер версии в ID: 179 (0179)
Пример ID: 0179Asd374y5iuhld0nqZpqFUkhO7jCaJOqgN19Pa0PX78dyKB3MD4eLV
Email: salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com
Результаты анализов: VT

Обновление от 7 ноября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .mosk
Записка: _readme.txt
Email: restoredatahelp@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 180 (0180)
Результаты анализов: VT + VMR

Обновление от 6 ноября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .lokf
Записка: _readme.txt
Email: restoredatahelp@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 181 (0181)
Результаты анализов: VT + VMR

Malware URL:
hxxx://ring1.ug/files/penelop/***

Обновление от 12 ноября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .peet
Записка: _readme.txt
Email: restorefiles@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 182 (0182)
Результаты анализов: VT + VMR

Обновление от 13 ноября 2019:
Сообщение >>
Топик на форуме >>
Пост на форуме >>
Расширение: .grod
Записка: _readme.txt
Email: restorefiles@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 183 (0183)
Результаты анализов: VT + VMR

Обновление от 18 ноября 2019:
Сообщение >>
Топик на форуме >>
Пост на форуме >>
Расширение: .mbed
Записка: _readme.txt
Email: restorealldata@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 184 (0184)
Результаты анализов: VT + VT + VT + VT + VT

Обновление от 18 ноября 2019:
Сообщение >>
Топик на форуме >>
Пост на форуме >>
Расширение: .kodg
Записка: _readme.txt
Email: restorealldata@firemail.cc, gorentos@bitmessage.ch
Номер версии в ID: 185 (0185)
Результаты анализов: VT + VT

Обновление от 23 ноября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .zobm
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 186 (0186)
Результаты анализов: VT + VT + AR + HA + IA

Обновление от 24 ноября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .rote
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 187 (0187)
Результаты анализов: VT + VMR

Обновление от 29 ноября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .msop
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 188 (0188)
Результаты анализов: VT + IA / VT

Обновление от 29 ноября 2019:
Сообщение >>
Пост на форуме >>
Расширение: .hets
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 189 (0189)
Результаты анализов: VT + VT

Обновление от 5 декабря 2019:
Сообщение >>
Топик на форуме >>
Топик на форуме >>
Расширение: .righ
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 190 (0190)
Результаты анализов: VT + VMR

Обновление от 7 декабря 2019:
Сообщение >>
Пост на форуме >>
Расширение: .gesd
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 191 (0191)
Результаты анализов: VT + VMR

Обновление от 10 декабря 2019:
Сообщение >>
Пост на форуме >>
Расширение: .merl
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 192 (0192)
Результаты анализов: VT + VT + VT + VT + VT + VT + VT

Обновление от 14 декабря 2019:
Сообщение >>
Пост на форуме >>
Расширение: .mkos
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 193 (0193)
Результаты анализов: VT + VMR

Обновление от 15 декабря 2019:
Сообщение >>
Пост на форуме >>
Расширение: .nbes
Записка: _readme.txt
Email: datarestorehelp@firemail.cc, datahelp@iran.ir
Номер версии в ID: 194 (0194)
Результаты анализов: VT + VMR

Обновление от 21 декабря 2019:
Сообщение >>
Сообщение >>
Расширение: .piny
Расширение: .redl
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Номера версий в ID: 195 (0195), 196 (0196)
Результаты анализов: VT + VT + VT

=== 2020 ===

Обновление от 17-18 января 2020:
Сообщение >>
Сообщение >>
Расширение: .kodc
Расширение: .nosu
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Номера версий в ID: 197 (0197)
URL: hxxx://ring2.ug/files/cost/***
hxxx://barjamanis.com/***
Результаты анализов: VT

Обновление от 21 января 2020:
Топик на форуме >>
Расширение: .kodc
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Номер версиb в ID: 198 (0198)
Результаты анализов: VT + VMR

Обновление от 23 января 2020:
Топик на форуме >>
Сообщение >>
Сообщение >>
Расширения: .reha, .topi
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Номер версии в ID: 199 (0199), 200 (0200)
URL-Malware: hxxx://ring2.ug/***
URL-Malware: hxxx://biderkomoso.com/***
Результаты анализов (.reha): VT + VT + VT + VT
Результаты анализов (.topi): VT + VT + VT + VMR

Обновление от 29 января 2020:
Сообщение >>
Сообщение >>
Расширения: .npsg, .btos
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Номер версии в ID: 201 (0201), 202 (0202)
Результаты анализов: VT + VMR / VT

Обновление от 31 января 2020:
Сообщение >>
Сообщение >>
Расширение: .repp, .alka
Записка: _readme.txt
Email: helpmanager@firemail.cc, helpmanager@iran.ir
Malware-URL: hxxx://vizk1.ug/***
Malware-URL: hxxx://katananestwate.com/***
Номер версии в ID: 203 (0203), 204 (0204)
Результаты анализов: VT + VT + VT / VT + VT + VT + VT

Обновление от 7 февраля 2020:
Сообщение >>
Расширение: .bboo
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 205 (0205)
Результаты анализов: VT + VT + VT
Записка о выкупе и ответное письмо вымогателей прилагаются.

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .rooe
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
URL-Malware: hxxx://vizk2.ug/***
Номер версии в ID: 206 (0206)
Результаты анализов: VT

Обновление от 13 февраля 2020:
Сообщение >>
Сообщение >>
Расширение: .mmnn, .ooss
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
URL-Malware: hxxx://mohd1.ug/***
Номер версии в ID: 207 (0206), 208 (0208)
Результаты анализов: VT

Обновление от 18 февраля 2020:
Сообщение >>
Расширение: .mool
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 209 (0209)
Результаты анализов: VT

Обновление от 19 февраля 2020:
Сообщение >>
Расширение: .nppp
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 210 (0210)
Результаты анализов: VT + VT + VT

Обновление от 1 марта 2020:
Сообщение >>
Расширение: .rezm
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Malware URL: hxxx://mopg.top/***
hxxx://precambrianera.com/***
Регистратор доменов: 101domain.ua
Номер версии в ID: 211 (0211)
Результаты анализов: VT

Обновление от 6 марта 2020:
Сообщение >>
Расширение: .lokd
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 212 (0212)
Результаты анализов: VT

Обновление от 8 марта 2020:
Сообщение >>
Расширение: .foop
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 213 (0213)
Результаты анализов: VT

Обновление от 15 марта 2020:
Сообщение >>
Расширение: .remk
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 214 (0214)
Результаты анализов: VT + VMR

Обновление от 21 марта 2020:
Сообщение >>
Пост на форуме >>
Расширение: .npsk
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 215 (0215)
Malware URL: hxxx://nokd.top/***
Malware URL: hxxx://archessee.com/***
Результаты анализов: VT + VMR

Обновление от 26 марта 2020:
Сообщение >>
Пост на форуме >>
Расширение: .opqz
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 216 (0216)
Результаты анализов: VT + VMR

Обновление от 30 марта 2020:
Сообщение >>
Топик на форуме >>
Расширение: .mado
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 217 (0217)
Malware-URL: hxxx://budf.top/files/penelop/***
Результаты анализов: VT + VMR / VT

Обновление от 5 апреля 2020:
Сообщение >>
Топик на форуме >>
Расширение: .jope
Записка: _readme.txt
Email: helpdatarestore@firemail.cc, helpmanager@mail.ch
Номер версии в ID: 218 (0218)
Результаты анализов: VT + VMR

Обновление от 8 апреля 2020:
Сообщение >>
Расширение: .mpaj
Записка: _readme.txt
Email: helpmanager@mail.ch, helpdatarestore@firemail.cc
Номер версии в ID: 219 (0219)
Malware-URL: hxxx://blvd.top/files/penelop/***
Результаты анализов: VT + VMR

Обновление от 14 апреля 2020:
Сообщение >>
Расширение: .lalo
Записка: _readme.txt
Email: helpmanager@mail.ch, helpdatarestore@firemail.cc
Номер версии в ID: 220 (0220)
Результаты анализов: VT + VMR

Обновление от 21 апреля 2020:
Сообщение >>
Расширение: .lezp
Записка: _readme.txt
Email: helpmanager@mail.ch, helpdatarestore@firemail.cc
Номер версии в ID: 221 (0221)
Результаты анализов: VT + VMR

Обновление от 25 апреля 2020:
Сообщение >>
Расширение: .qewe
Записка: _readme.txt
Email: helpmanager@mail.ch, helpdatarestore@firemail.cc
Номер версии в ID: 222 (0222)
Malware-URLs: hxxx://akbz.top/files/penelop/***
hxxx://evergladsea.com/***
Результаты анализов: VT + TG / VT

Обновление от 1 мая 2020: ⚑

Сообщение >>
Расширение: .mpal
Записка: _readme.txt
Email: helpmanager@mail.ch, helpdatarestore@firemail.cc
Номер версии в ID: 223 (0223)
Результаты анализов: VT

Обновление от 7 мая 2020:
Сообщение >>
Расширение: .sqpc
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 224 (0224)
Malware-URLs:
hxxx://akbz.top/files/penelop/***
hxxx://chumashpeople.com/***
Результаты анализов: VT + VMR + MS + TG

Обновление от 12 мая 2020:
Сообщение >>
Расширение: .mzlq
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 225 (0225)
Malware-URLs:
hxxx://akbz.top/files/penelop/***
hxxx://naukluftp.com/***
Результаты анализов: VT + TG / VT

Обновление от 16 мая 2020:
Топик на форуме >>
Сообщение >>
Расширение: .koti
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 226 (0226)
URL: hxxx://hireporters.com/***
hxxx://cjto.top/files/penelop/***
Результаты анализов: VT

Обновление от 21 мая 2020:
Сообщение >>
Расширение: .covm
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 227 (0227)

Обновление от 27 мая 2020:
Сообщение >>
Расширение: .pezi
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 228 (0228)

Обновление от 1 июня 2020:
Сообщение >>
Расширение: .nlah
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 229 (0229)
Результаты анализов: VT + IA / VT + IA

Обновление от 5 июня 2020:
Сообщение >>
Расширение: .kkll
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 230 (0230)
Malware-URLs: hxxx://cjto.top/files/penelop/***
hxxx://balalbalalska.com/***
Результаты анализов: VT + IA

Обновление от 7 июня 2020:
Сообщение >>
Пост на форуме >>
Расширение: .zwer
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 231 (0231)
Результаты анализов: VT

Обновление от 11 июня 2020:
Сообщение >>
Топик на форуме >>
Расширение: .nypd
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@firemail.cc
Номер версии в ID: 232 (0232)
Результаты анализов: VT

Обновление от 15 июня 2020:
Сообщение >>
Сообщение >>
Расширение: .usam
Расширение: .tabe
Записка: _readme.txt
Email: helpmanager@mail.ch
Номера версий в ID: 233 (0233), 234 (0234),
Результаты анализов (.tabe): VT + VMR + IA

Обновление от 17 июня 2020:
Сообщение >>
Расширение: .vawe
Записка: _readme.txt
Email: helpmanager@mail.ch
Номер версии в ID: 235 (0235)
Результаты анализов: VT

Обновление от 23 июня 2020:
Сообщение >>
Сообщение >>
Расширение: .moba
Расширение: .pykw
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номера версий в ID: 236 (0236), 237 (0237)
Результаты анализов (.pykw): VT + IA

Обновление от 29 июня 2020:
Сообщение >>
Расширение: .zida
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 238 (0238)
Результаты анализов: VT

Обновление от 5 июля 2020:
Пост на форуме >>
Сообщение >>
Расширение: .maas
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 239 (0239)
Результаты анализов: VT

Обновление от 13 июля 2020:
Сообщение >>
Сообщение >>
Пост на форуме >>
Расширение: .repl
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 240 (0240)
Результаты анализов: VT + TG + IA + VMR

Обновление от 17 июля 2020:
Сообщение >>
Расширение: .kuus
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 241 (0241)
Результаты анализов: VT

Обновление от 23 июля 2020:
Сообщение >>
Расширение: .erif
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 242 (0242)
Результаты анализов: VT

Обновление от 28 июля 2020:
Сообщение >>
Расширение: .kook
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 243 (0243)
Результаты анализов: VT

Обновление от 2 августа 2020:
Топик на форуме >>
Сообщение >>
Расширение: .nile
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 244 (0244)
Результаты анализов: VT

Обновление от 9 августа 2020:
Сообщение >>
Расширение: .oonn
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 245 (0245)
Результаты анализов: VT + IA

Обновление от 14 августа 2020:
Сообщение >>
Расширение: .vari
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 246 (0246)
Результаты анализов: VT + IA

Обновление от 25 августа 2020:
Сообщение >>
Расширение: .boop
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 247 (0247)
Результаты анализов: VT + IA

Обновление от 5 сентября 2020:
Сообщение >>
Расширение: .geno
Записка: _readme.txt
Email: helpmanager@mail.ch, restoremanager@airmail.cc
Номер версии в ID: 248 (0248)
Результаты анализов: VT + IA

Обновление от 5-6 сентября 2020:

Топик на форуме >>

Расширение: .kasp

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 249 (0249)

Результаты анализов: VT + IA

Обновление от 10 сентября 2020:

Сообщение >>

Расширение: .ogdo

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 250 (0250)

Обновление от 15 сентября 2020:

Сообщение >>

Расширение: .npph

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 251 (0251)

Обновление от 20 сентября 2020:

Сообщение >>

Расширение: .kolz

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 252 (0252)

Результаты анализов: VT + IA

Обновление от 25 сентября 2020:

Сообщение >>

Расширение: .copa

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 253 (0253)

Результаты анализов: VT + IA

Обновление от 30 сентября 2020:

Сообщение >>

Расширение: .lyli

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 254 (0254)

Результаты анализов: VT + IA

Обновление от 5 октября 2020:

Сообщение >>

Расширение: .moss

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

URL: hxxx://cjto.top/***

Номер версии в ID: 255 (0255)

Результаты анализов: VT + IA + VMR

Обновление от 12 октября 2020:

Сообщение >>

Расширение: .foqe

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 256 (0256)

Результаты анализов: VT + IA + VMR

Обновление от 16 октября 2020:

Сообщение >>

Расширение: .mmpa

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 257 (0257)

Результаты анализов: VT + IA + VMR

Обновление от 18 октября 2020:

Сообщение >>

Расширение: .efji

Записка: _readme.txt

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 258 (0258)

Результаты анализов: VT + IA + VMR

Обновление от 27 октября 2020:

Сообщение >>

Расширение: .iiss

Номер версии в ID: 259 (0259)

Результаты анализов: VT

Обновление от 29 октября 2020:

Расширение: -

Номер версии в ID: 260 (0260)

Результаты анализов: VT

Обновление от 29 октября 2020:

Сообщение >>

Расширение: .jdyi

Номер версии в ID: 261 (0261)

Результаты анализов: VT

Обновление от 4 ноября 2020:

Сообщение >>

Топик на форуме >>

Расширение: .vpsh

Номер версии в ID: 262 (0262)

Результаты анализов: VT

Обновление от 10 ноября 2020:

Сообщение >>

Пост на форуме >>

Расширение: .agho

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Номер версии в ID: 263 (0263)

Результаты анализов: VT

Обновление от 13 ноября 2020:

Сообщение >>

Расширение: .vvoa

Номер версии в ID: 264 (0264)

Обновление от 16 ноября 2020:

Сообщение >>

Расширение: .epor

Номер версии в ID: 265 (0265)

Обновление от 19 ноября 2020:

Пост на форуме >>

Расширение: .sglh

Номер версии в ID: 266 (0266)

Malware-URL:

hxxx://qpao.top/files/penelop/***

hxxxs://api.2ip.ua/geo.json

Результаты анализов: VT + IA + VMR

Обновление от 23 ноября 2020:

Сообщение >>

Расширение: .lisp

Номер версии в ID: 267 (0267)

Результаты анализов: VT

Обновление от 30 ноября 2020:

Сообщение >>

Расширение: .weui

Номер версии в ID: 268 (0268)

Результаты анализов: VT

Обновление от 4 декабря 2020:

Сообщение >>

Расширение: .nobu

Номер версии в ID: 269 (0269)

Malware-URL:

hxxx://vjsi.top/files/penelop/***

hxxxs://api.2ip.ua/geo.json

Результаты анализов: VT + IA

Обновление от 9 декабря 2020:

Тема на форуме >>

Сообщение >>

Расширение: .igdm

Номер версии в ID: 270 (0270)

Результаты анализов: VT

Обновление от 14 декабря 2020:

Сообщение >>

Расширение: .booa

Номер версии в ID: 271 (0271)

Результаты анализов: VT

Обновление от 18 декабря 2020:

Сообщение >>

Расширение: .omfl

Номер версии в ID: 272 (0272)

Результаты анализов: VT + VMR / VT

Обновление от 24 декабря 2020:

Пост на форуме >>

Сообщение >>

Расширение: .igal

Номер версии в ID: 273 (0273)

Результаты анализов: VT + VMR

Вариант от 3 января 2021:

Топик на форуме >>

Расширение: .qlkm

Номер версии в ID: 274 (0274)

Вариант от 11 января 2021:

Топик на форуме >>

Сообщение >>

Расширение: .coos

Номер версии в ID: 275 (0275)

Email: helpmanager@mail.ch, restoremanager@airmail.cc

Вариант от 18 января 2021:

Сообщение >>

Пост на форуме >>

Расширение: .wbxd

Номер версии в ID: 276 (0276)

Email: helpmanager@mail.ch, helpmanager@airmail.cc

Вариант от 27 января 2021:

Пост на форуме >>

Сообщение >>

Расширение: .pola

Номер версии в ID: 277 (0277)

Email: helpmanager@mail.ch, helpmanager@airmail.cc

Вариант от 1 февраля 2021 или раньше:

Сообщение >>

Расширение: .cosd

Номер версии в ID: 279 (0279):

Вариант от 3 февраля 2021:

Сообщение >>

Расширение: .plam

Номер версии в ID: 280 (0280):

Результаты анализов: VT

Вариант от 11 февраля 2021:

Топик на форуме >>

Сообщение >>

Расширение: .ygkz

Номер версии в ID: 281 (0281):

Email: helpteam@mail.ch, helpmanager@airmail.cc

Вариант от 17 февраля 2021:

Сообщение >>

Расширение: .cadq

Номер версии в ID: 282 (0282):

Результаты анализов: VT

Вариант от 23 февраля 2021:

Сообщение >>

Расширение: .tirp

Номер версии в ID: 283 (0283):

Результаты анализов: VT

Вариант от 28 февраля 2021:

Сообщение >>

Расширение: .ribd

Номер версии в ID: 284 (0284):

Результаты анализов: VT

Вариант от 10 марта 2021:

Сообщение >>

Расширение: .reig

Номер версии в ID: 285 (0285):

Результаты анализов: VT

Вариант от 18 марта 2021:

Сообщение >>

Расширение: .enfp

Номер версии в ID: 288 (0288):

Malware-URL:

hxxx://vnjt.top/files/cost/***

hxxx://yourpro.top/***

Результаты анализов: VT + VT

Вариант от 24 марта 2021:

Сообщение >>

Топик на форуме >>

Расширение: .ekvf

Email: helpteam@mail.ch, helpmanager@airmail.cc

Номер версии в ID: 286 (0286):

Malware-URL:

hxxx://jfas.top/files/iner/***

hxxx://ciaociao.top/***

Результаты анализов: VT + IA

Вариант от 30 марта - 3 апреля 2021:

Сообщение >>

Расширение: .ytbn, .fdcz

Номер версии в ID: 290 (0290)

Результаты анализов: VT / VT

Вариант от 4 апреля 2021:

Сообщение >>

Расширение: .urnb

Номер версии в ID: 292 (0292)

Результаты анализов: VT

Вариант от 9 апреля 2021:

Сообщение >>

Расширение: .lmas

Email: helpteam@mail.ch, helpmanager@airmail.cc

Номер версии в ID: 293 (0293)

Результаты анализов: VT

Вариант от 14 апреля 2021:

Сообщение >>

Расширение: .wrui

Номер версии в ID: 294 (0294)

Результаты анализов: VT

Вариант от 5 мая 2021:

Сообщение >>

Расширение: .rejg

Номер версии в ID: 295 (0295)

Результаты анализов: VT

Вариант от 8 мая 2021:

Сообщение >>

Расширение: .pcqq

Номер версии в ID: 296 (0296)

Результаты анализов: VT

Вариант от 14 мая 2021:

Сообщение >>

Расширение: .igvm

Номер версии в ID: 297 (0297)

Результаты анализов: VT

Вариант от 20 мая 2021:

Сообщение >>

Расширение: .nusm

Номер версии в ID: 298 (0298)

Результаты анализов: VT + VT + VT

Вариант от 25 мая 2021:

Сообщение >>

Расширение: .ehiz

Номер версии в ID: 299 (0299)

Вариант от 30 мая 2021:

Сообщение >>

Расширение: .paas

Номер версии в ID: 300 (0300)

Результаты анализов: VT

Вариант от 3 июня 2021:

Сообщение >>

Расширение: .pahd

Номер версии в ID: 301 (0301)

Результаты анализов: VT + AR

Вариант от 8 июня 2021:

Сообщение >>

Расширение: .mppq

Номер версии в ID: 302 (0302)

Результаты анализов: VT

Вариант от 13 июня 2021:

Сообщение >>

Топик на форуме >>

Расширение: .qscx

Номер версии в ID: 303 (0303)

Результаты анализов: VT

Вариант от 18 июня 2021:

Сообщение >>

Расширение: .sspq

Записка: __readme.txt

Email: helpteam@mail.ch, helpmanager@airmail.cc

Номер версии в ID: 304 (0304)

Результаты анализов: VT + AR / VT + AR

Вариант от 18 июня 2021:

Сообщение >>

Расширение: .iqll

Записка: _readme.txt

Email: helpteam@mail.ch, helpmanager@airmail.cc

Номер версии в ID: 305 (0305)

Результаты анализов: VT

Вариант от 24 июня 2021:

Сообщение >>

Расширение: .ddsg

Malware-URL: hxxx://securebiz.org/files/iner/***

Номер версии в ID: 306 (0306)

Результаты анализов: VT

Смотрите весь список расширений и версий на странице HOT-STOP >>>

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Хронология STOP Ransomware с использованием расширений и записок:
.STOP - декабрь 2017, февраль 2018 -- !!!YourDataRestore!!!.txt
.SUSPENDED - февраль 2018 -- !!!RestoreProcess!!!.txt
.WAITING - апрель 2018 -- !!!INFO_RESTORE!!!.txt
.PAUSA - май 2018 -- !!RESTORE!!!.txt
.CONTACTUS - май 2018 -- !!!!RESTORE_FILES!!!.txt
.DATASTOP - июль 2018 -- !!!DATA_RESTORE!!!.txt
.STOPDATA - июль 2018 -- !!!RESTORE_DATA!!!.txt
.KEYPASS - август 2018 -- !!!KEYPASS_DECRYPTION_INFO!!!.txt
.WHY - август 2018 -- !!!WHY_MY_FILES_NOT_OPEN!!!.txt
.SAVEfiles - сентябрь 2018 -- !!!SAVE_FILES_INFO!!!.txt
.DATAWAIT - (003) ноябрь 2018 -- !readme.txt - 🔓🔓
.INFOWAIT - (004) ноябрь 2018 -- !readme.txt - 🔓
.puma - (005) ноябрь 2018 -- !readme.txt - 🔓
.pumax - (005, 006) ноябрь 2018 -- !readme.txt - 🔓
.pumas - (008) ноябрь 2018 -- !readme.txt - 🔓
.shadow - (012, 013) декабрь 2018 -- !readme.txt - 🔓
.djvu - (013, 014) декабрь 2018 -- _openme.txt - 🔓
.djvuu - (016) декабрь 2018 -- _openme.txt - 🔓
.udjvu - (017) декабрь 2018 -- _openme.txt - 🔓
.uudjvu - (018) декабрь 2018 -- _openme.txt - 🔓
.djvuq - (019) декабрь 2018 -- _openme.txt - 🔓
.djvus - (020) декабрь 2018 -- _openme.txt - 🔓?
.djvur - (021) январь 2019 -- _openme.txt - 🔓
.djvut - (022) январь 2019 -- _openme.txt - 🔓
.pdff - (023) январь 2019 -- _openme.txt - 🔓
.tro - (023) январь 2019 -- _openme.txt - 🔓
.tfude - (024) январь 2019 -- _openme.txt - 🔓
.tfudeq (025) январь 2019 -- _openme.txt - 🔓
.tfudet - (024, 026) январь 2019 -- _openme.txt - 🔓
.rumba (027) январь 2019 -- _openme.txt - 🔓
.adobe - (028) январь 2019 -- _openme.txt - 🔓
.adobee - (029) январь 2019 -- _openme.txt - 🔓
.blower - (030, 031, 032) февраль 2019 -- _readme.txt - 🔓
.promos - (033) февраль 2019 -- _readme.txt - 🔓
.promoz - (034) февраль 2019 -- _readme.txt - 🔓
.promorad - (036) март 2019 -- _readme.txt - 🔓
.promock - (036) март 2019 -- _readme.txt - 🔓
.promok - (037) март 2019 -- _readme.txt - 🔓
.promoks - (038) март 2019 -- _readme.txt - 🔓?
.promorad2 - (039) март 2019 -- _readme.txt - 🔓
.kroput - (040) март 2019 -- _readme.txt - 🔓
.kroput1 - (041) март 2019 -- _readme.txt - 🔓
.pulsar1 - (041) март 2019 -- _readme.txt - 🔓
.kropun1 - (041) март 2019 -- _readme.txt - 🔓?
.charck - (044) март 2019 -- _readme.txt - 🔓
.klope - (045) март 2019 -- _readme.txt - 🔓
.kropun - (046, 047) март 2019 -- _readme.txt - 🔓
.charcl - (047) март 2019 -- _readme.txt - 🔓?
.doples - (049) март 2019 -- _readme.txt - 🔓
.luces - (050) март 2019 -- _readme.txt - 🔓
.luceq - (051) март 2019 -- _readme.txt - 🔓
.chech - (052) март 2019 -- _readme.txt - 🔓
.proden - (052) март 2019 -- _readme.txt - 🔓
.drume - (054) март 2019 -- _open_.txt - 🔓
.tronas - (056) март 2019 -- _open_.txt - 🔓
.trosak - (057) март 2019 -- _readme.txt - 🔓
.grovas - (058) март 2019 -- _readme.txt - 🔓
.grovat - (059) март 2019 -- _readme.txt - 🔓
.roland - (060) март 2019 -- _readme.txt - 🔓
.refols - (061) апрель 2019 -- _readme.txt - 🔓
.raldug - (062) апрель 2019 -- _readme.txt - 🔓
.etols - (064) апрель 2019 -- _readme.txt - 🔓
.guvara - (065) апрель 2019 -- _readme.txt - 🔓
.browec - (066) апрель 2019 -- _readme.txt - 🔓?
.norvas - (067, 068) апрель 2019 -- _readme.txt - 🔓
.moresa - (069) апрель 2019 -- _readme.txt - 🔓
.verasto - (070) апрель 2019 -- _readme.txt - 🔓
.hrosas - (071) апрель 2019 -- _readme.txt - 🔓
.kiratos - (072) апрель 2019 -- _readme.txt - 🔓?
.todarius - (073) апрель 2019 -- _readme.txt - 🔓?
.hofos - (074) апрель 2019 -- _readme.txt - 🔓?

.roldat - (075) апрель 2019 -- _readme.txt - 🔓
.dutan - (077) - май 2019 -- _readme.txt - 🔓
.sarut - (078) - май 2019 -- _readme.txt - 🔓
.fedasot - (079) - май 2019 -- _readme.txt - 🔓
.berost - (080) - май 2019 -- _readme.txt - 🔓
.forasom - (081) - май 2019 -- _readme.txt - 🔓
.fordan - (082) - май 2019 -- _readme.txt - 🔓
.codnat - (083) - май 2019 -- _readme.txt - 🔓
.codnat1 - (083) - май 2019 -- _readme.txt - 🔓
.bufas - (084) - май 2019 -- _readme.txt - 🔓
.dotmap (085) - май 2019 -- _readme.txt - 🔓
.radman (086) - май 2019 -- _readme.txt - 🔓
.ferosas (087) - май 2019 -- _readme.txt - 🔓
.rectot (088) - май 2019 -- _readme.txt - 🔓
.skymap (089) - май 2019 -- _readme.txt - 🔓
.mogera (090) - май 2019 -- _readme.txt - 🔓
.rezuc (091) - май 2019 -- _readme.txt - 🔓
.stone (092) - июнь 2019 -- _readme.txt - 🔓

.redmat (093) - июнь 2019 -- _readme.txt - 🔓

.lanset (094) - июнь 2019 -- _readme.txt - 🔓
.davda (095) - июнь 2019 -- _readme.txt - 🔓
.poret (096) - июнь 2019 -- _readme.txt - 🔓
.pidon (097) - июнь 2019 -- _readme.txt - 🔓
.heroset (098) - июнь 2019 -- _readme.txt - 🔓
.boston (099) - июнь 2019 -- _readme.txt - 🔓
.muslat (100) - июнь 2019 -- _readme.txt - 🔓
.gerosan (101) - июнь 2019 -- _readme.txt - 🔓
.vesad (102) - июнь 2019 -- _readme.txt - 🔓
.horon (103) - июнь 2019 -- _readme.txt - 🔓
.neras (104) - июнь 2019 -- _readme.txt - 🔓
.truke (105) - июнь 2019 -- _readme.txt - 🔓
.dalle (106) - июнь 2019 -- _readme.txt - 🔓
.lotep (107) - июнь 2019 -- _readme.txt - 🔓
.nusar (108) - июнь 2019 -- _readme.txt - 🔓
.litar (109) - июнь 2019 -- _readme.txt - 🔓
.besub (110) - июль 2019 -- _readme.txt - 🔓
.cezor (111) - июль 2019 -- _readme.txt - 🔓
.lokas (112) - июль 2019 -- _readme.txt - 🔓
.godes (113) - июль 2019 -- _readme.txt - 🔓
.budak (114) - июль 2019 -- _readme.txt - 🔓
.vusad (115) - июль 2019 -- _readme.txt - 🔓
.herad (116) - июль 2019 -- _readme.txt - 🔓
.berosuce (117) - июль 2019 -- _readme.txt - 🔓
.gehad (118) - июль 2019 -- _readme.txt - 🔓
.gusau (119) - июль 2019 -- _readme.txt - 🔓
.madek (120) - июль 2019 -- _readme.txt - 🔓
.darus (121) - июль 2019 -- _readme.txt - 🔓
.tocue (122) - июль 2019 -- _readme.txt - 🔓
.lapoi (123) - июль 2019 -- _readme.txt - 🔓
.todar (124) - июль 2019 -- _readme.txt - 🔓
.dodoc (125) - июль 2019 -- _readme.txt - 🔓
.bopador (126) - июль 2019 -- _readme.txt - 🔓
.novasof (127) - июль 2019 -- _readme.txt - 🔓
.ntuseg (128) - июль 2019 -- _readme.txt - 🔓
.ndarod (129) - июль 2019 -- _readme.txt - 🔓
.access (130) - июль 2019 -- _readme.txt - 🔓
.format (131) - июль 2019 -- _readme.txt - 🔓
.nelasod (132) - июль 2019 -- _readme.txt - 🔓
.mogranos (133) - июль 2019 -- _readme.txt - 🔓
.cosakos (134) - август 2019 -- _readme.txt - 🔓
.nvetud (135) - июль 2019 -- _readme.txt - 🔓
.lotej (135) - июль 2019 -- _readme.txt - 🔓
??? (136) - июль - август 2019 -- _readme.txt
.kovasoh (137) - август 2019 -- _readme.txt - 🔓
.prandel (138) - август 2019 -- _readme.txt - 🔓
.zatrov (139) - август 2019 -- _readme.txt - 🔓
.masok (140) - август 2019 -- _readme.txt - 🔓
.brusaf (141) - август 2019 -- _readme.txt - 🔓
.londec (141-142?) - август 2019 -- _readme.txt - 🔓
.krusop (143) - август 2019 -- _readme.txt - 🔓
.mtogas (144) - август 2019 -- _readme.txt - 🔓
.nasoh (145) - август 2019 -- _readme.txt - 🔓
.coharos (146) - август 2019 -- _readme.txt - 🔓?
.nacro (147) - август 2019 -- _readme.txt - 🔓
.pedro (148) - август 2019 -- _readme.txt - 🔓
.nuksus (149) - август 2019 -- _readme.txt - 🔓
.vesrato (150) - август 2019 -- _readme.txt - 🔓
.cetori (151) - август 2019 -- _readme.txt - 🔓
.masodas (151) - август 2019 -- _readme.txt - 🔓
.stare (153) - август 2019 -- _readme.txt - 🔓
.carote (154) - август 2019 -- _readme.txt - 🔓
.shariz (155) - август 2019 -- _readme.txt - 🔓
.gero (156) - август 2019 -- _readme.txt - 🔓 (can decrypt)
.hese (157) - август 2019 -- _readme.txt - 🔓 (can decrypt)
.xoza (158) - август 2019 -- _readme.txt - 🔒
.seto (159) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.peta (160) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.moka (161) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.meds (162) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.kvag (163) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.domn (164) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.karl (165) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.nesa (166) - сентябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.boot (167) - сентябрь 2019 -- _readme.txt - 🔒
.noos (168) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.kuub (169) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.mike (без номера) -- _readme.txt - подделка под STOP (см. статью Mike NotSTOP)
.reco (170) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.bora (171) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.leto  (172) - октябрь 2019 -- _readme.txt - 🔒
.nols (173) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.werd (174) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.coot - (175) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.derp - (176) - октябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.nakw - (177) - октябрь 2019 -- _readme.txt - 🔒
.meka - (178) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.toec - (179) - ноябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.mosk - (180) - ноябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.lokf - (181) - ноябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.peet - (182) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.grod - (183) - ноябрь 2019 -- _readme.txt - 🔓 (can decrypt)
.mbed - (184) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.kodg - (185) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.zobm - (186) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.rote - (187) - ноябрь 2019 -- _readme.txt - - 🔓 (can decrypt)
.msop - (188) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.hets - (189) - ноябрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.righ - (190) - декабрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.gesd - (191) - декабрь 2019 -- _readme.txt  - 🔓
.merl - (192) - декабрь 2019 -- _readme.txt - 🔒
.mkos - (193) - декабрь 2019 -- _readme.txt  - 🔓 (can decrypt)
.nbes (194) - декабрь 2019 -- _readme.txt - 🔓 (can decrypt)
.piny (195) - декабрь 2019 -- _readme.txt  🔒
.redl (196) - декабрь 2019 -- _readme.txt - 🔒
.kodc (197) - 17 января 2020 -- _readme.txt - 🔒
.nosu (197) - 18 января 2020 -- _readme.txt  - 🔓 (can decrypt)
.kodc (198) - 21 января 2020 -- _readme.txt - 🔒
.reha (199) - 23 января 2020 -- _readme.txt  - 🔓 (can decrypt)
.topi (200) - 23 января 2020 -- _readme.txt  - 🔓 (can decrypt)
.npsg (201) - 29 января 2020 -- _readme.txt - 🔒
.btos (202) - 29 января 2020 -- _readme.txt - 🔒
.repp (203) - 31 января 2020 -- _readme.txt  - 🔓 (can decrypt)
.alka (204) - 31 января 2020 -- _readme.txt  - 🔓 (can decrypt)
.bboo (205) - 7 февраля 2020 -- _readme.txt - 🔒
.rooe (206) - 13 февраля 2020 -- _readme.txt - 🔒
.mmnn (207) - 17 февраля 2020 -- _readme.txt - 🔒
.ooss (208) - 17 февраля 2020 -- _readme.txt - 🔒
.mool (209) - 18 февраля 2020 -- _readme.txt - 🔒
.nppp (210) - 19 февраля 2020 -- _readme.txt  - 🔓 (can decrypt)
.rezm (211) - 1 марта 2020 -- _readme.txt - 🔒
.lokd (212) - 6 марта 2020 -- _readme.txt - 🔒
.foop (213) - 8 марта 2020 -- _readme.txt - 🔒
.remk (214) - 15 марта 2020 -- _readme.txt  - 🔓 (can decrypt)
.npsk (215) - 20 марта 2020 -- _readme.txt  - 🔓 (can decrypt)
.opqz (216) - 26 марта 2020 -- _readme.txt  - 🔓 (can decrypt)
.mado (217) - 30 марта 2020 -- _readme.txt  - 🔓 (can decrypt)
.jope (218) - 5 апреля 2020 -- _readme.txt  - 🔒
.mpaj (219) - 8 апреля 2020 -- _readme.txt  - 🔒
.lalo (220) - 14 апреля 2020 -- _readme.txt  - 🔒
.lezp - (221) - 21 апреля 2020 -- _readme.txt  - 🔒
.qewe - (222) - 25 апреля 2020 -- _readme.txt  - 🔒
.mpal (223) - 1 мая 2020 -- _readme.txt  - 🔒
.sqpc (224) - 7 мая 2020 -- _readme.txt  - 🔒
.mzlq (225) - 12 мая 2020 -- _readme.txt  - 🔒
.koti (226) - 16 мая 2020 -- _readme.txt  - 🔒
.covm - (227) - 21 мая 2020 -- _readme.txt  - 🔓 (can decrypt)
.pezi - (228) - 27 мая 2020 -- _readme.txt  - 🔒
.nlah (229) - 1 июня 2020 -- _readme.txt  - 🔒
.kkll (230) - 5 июня 2020 -- _readme.txt  - 🔒
.zwer (231) - 7 июня 2020 -- _readme.txt  - 🔒
.nypd (232) - 11 июня 2020 -- _readme.txt  - 🔒
.usam (233) - 15 июня 2020 -- _readme.txt  - 🔓 (can decrypt)
.tabe (234) - 15 июня 2020 -- _readme.txt  - 🔓 (can decrypt)
.vawe (235) - 17 июня 2020 -- _readme.txt  - 🔓 (can decrypt)
.moba (236) - 23 июня 2020 -- _readme.txt  - 🔒
.pykw (237) - 23 июня 2020 -- _readme.txt  - 🔒
.zida (238) - 29 июня 2020 -- _readme.txt  - 🔒
.maas (239) - 5 июля 2020 -- _readme.txt  - 🔓 (can decrypt)
.repl (240) - 13 июля 2020 -- _readme.txt  - 🔒
.kuus (241) - 17 июля 2020 -- _readme.txt  - 🔒
.erif (242) - 23 июля 2020 -- _readme.txt  - 🔒
.kook (243) - 28 июля 2020 -- _readme.txt  - 🔒
.nile (244) - 2 августа 2020 -- _readme.txt  - 🔓 (can decrypt)
.oonn (245) - 9 августа 2020 -- _readme.txt  - 🔒
.vari (246) - 14 августа 2020 -- _readme.txt  - 🔒
.boop (247) - 25 августа 2020 -- _readme.txt  - 🔒
.geno (248) - 5 сентября 2020 -- _readme.txt  - - 🔓 (can decrypt)
.kasp (249) - 6 сентября 2020 -- _readme.txt  - 🔒 / 🔓 ?
.ogdo (250) - 10 сентября 2020 -- _readme.txt  - 🔒
.npph (251) - 15 сентября 2020 -- _readme.txt  - 🔒
.kolz (252) - 20 сентября 2020 -- _readme.txt  - 🔒

.copa (253) - 20 сентября 2020 -- _readme.txt - 🔒
.lyli (254) - 30 сентября 2020 -- _readme.txt - 🔒

.moss (255) - 5 октября 2020 -- _readme.txt  - 🔒
.foqe (256) - 5 октября 2020 -- _readme.txt  - 🔒
.mmpa (257) - 15 октября 2020 -- _readme.txt  - 🔒
.efji (258) - 18 октября 2020 -- _readme.txt  - 🔒
.iiss (259) - 27 октября 2020 -- _readme.txt  - 🔒
--- (260) - 28 октября 2020 -- _readme.txt  - 🔒

.jdyi (261) - 29 октября 2020 -- _readme.txt - 🔒

.vpsh (262) - 4 ноября 2020 -- _readme.txt - 🔒

.agho (263) - 10 ноября 2020 -- _readme.txt - 🔒

.vvoa (264) - 13 ноября 2020 -- _readme.txt - 🔒

.epor (265) - 16 ноября 2020 -- _readme.txt - 🔒

.sglh (266) - 19 ноября 2020 -- _readme.txt - 🔒

.lisp (267) - 23 ноября 2020 -- _readme.txt - 🔒

.weui (268) - 30 ноября 2020 -- _readme.txt - 🔒

.nobu (269) - 4 декабря 2020 -- _readme.txt - 🔒

.igdm (270) - 9 декабря 2020 -- _readme.txt - 🔒

.booa (271) - 14 декабря 2020 -- _readme.txt - 🔒

.omfl (272) - 18 декабря 2020 -- _readme.txt - 🔒

.igal (273) - 24 декабря 2020 -- _readme.txt - 🔒

.qlkm (274) - 3 января 2021 -- _readme.txt - 🔒

.coos (275) - 11 января 2021 -- _readme.txt - 🔒

.wbxd (276) - 18 января 2021 -- _readme.txt - 🔒

.pola (277) - 27 января 2021 -- _readme.txt - 🔒

--- (278) - * января 2021 -- _readme.txt - 🔒

.cosd (279) - 1 февраля 2021 -- _readme.txt - 🔒

.plam (280) - 3 февраля 2021 -- _readme.txt - 🔒

.ygkz (281) - 11 февраля 2021 -- _readme.txt - 🔒

.cadq (282) - 17 февраля 2021 -- _readme.txt - 🔒

.tirp (283) - 23 февраля 2021 -- _readme.txt - 🔒

.ribd (284) - 28 февраля 2021 -- _readme.txt - 🔒

.reig (285) - 10 марта 2021 -- _readme.txt - 🔒

.ekvf (286) - 24 марта 2021 -- _readme.txt - 🔒

* (287) - * марта 2021 -- _readme.txt - 🔒

.enfp (288) - 18 марта 2021 -- _readme.txt - 🔒

* (289) - * марта 2021 -- _readme.txt - 🔒

.ytbn (290) - 30 марта 2021 -- _readme.txt - 🔒

.fdcz (290) - 3 апреля 2021 -- _readme.txt - 🔒

.urnb (292) - 4 апреля 2021 -- _readme.txt - 🔒

.lmas (293) - 9 апреля 2021 -- _readme.txt - 🔒

.wrui (294) - 14 апреля 2021 -- _readme.txt - 🔒

.rejg (295) - 5 мая 2021 -- _readme.txt - 🔒

.pcqq (296) - 8 мая 2021 -- _readme.txt - 🔒

.igvm (297) - 14 мая 2021 -- _readme.txt - 🔒

.nusm (298) - 20 мая 2021 -- _readme.txt - 🔒

.ehiz (299) - 25 мая 2021 -- _readme.txt - 🔒

.paas (300) - 30 мая 2021 -- _readme.txt - 🔒

.pahd (301) - 3 июня 2021 -- _readme.txt - 🔒

.mppq (302) - 8 июня 2021 -- _readme.txt - 🔒

.qscx (303) - 13 июня 2021 -- _readme.txt - 🔒

.sspq (304) - 18 июня 2021 -- __readme.txt - 🔒

.iqll (305) - 18 июня 2021 -- _readme.txt - 🔒

.ddsg (306) - 24 июня 2021 -- _readme.txt - 🔒

Смотрите весь список на странице Hot-STOP >>>

Легенда:
🔒 - пока не получен ключ дешифрования
🔓 - дешифруются файлы, зашифрованные оффлайн-ключами; FAQ см. ниже.
🔓? - дешифровка под вопросом, исследуется, или нужен образец вредоноса
(060) - номер версии из записки, ничего не значит, нужен, чтобы не запутаться.

-----------------------------------------------

Эта страница перегружена, поэтому я приостанавливаю добавление новых вариантов.

Следите за новыми вариантами

- на моей специальной странице Hot-STOP >>

- на канале PCrisk в Твиттере >>

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно дешифровать!
➽ Составьте запрос в Dr.Web на пробную дешифровку: 
- на русском языке, - на английском языке
После проверки вам сообщат подробности. 
➽ Для медиафайлов можно воспользоваться способом, 
описанным по ссылке disktuna.com/media-repair-small-repair-tool-for-mp3-and-wav-files-affected-by-stop-djvu/

***

1) Варианты c расширениями .DATAWAIT, .INFOWAIT и более ранние можно дешифровать в Dr.Web
2) Варианты с расширениями .puma, .pumax, .pumas можно дешифровать по ссылке >>
3) Варианты с расширениями .djvu, .djvuq, .djvur, .djvut, .djvuu, .udjvu, .pdff, .tro, .tfude, .tfudeq, .tfudet, rumba, 
adobe, adobee, blower, promos, promoz и более новые можно дешифровать по ссылке >>
*
2) 


3) 


STOP Decrypter расшифрует только файлы, зашифрованные оффлайн-ключами. В окне программы видно загруженные ключи и поддерживаемые расширения. 

Майкл собирает данные пострадавших, чтобы применить их в декриптере и расшифровать файлы. Я написал краткое руководство и перевел все ответы Майкла на русский язык (см. ссылку ниже).


Специальная статья: Сбор данных для дешифрования группы Djvu >>

1) Новый дешифровщик для файлов групп STOP и Puma (расширения .puma, .pumax, .pumas,  
.DATAWAIT, .INFOWAIT и некоторые другие), если они зашифрованы оффлайн-ключом), 
можно скачать по ссылке >> *
***
2) Новый дешифровщик для файлов группы Djvu (с расширениями от .djvu, до .shariz), 
если они зашифрованы оффлайн-ключом, и для некоторых из группы Gero, 
можно скачать по ссылке >> 
Есть оффлайн-ключи для вариантов: .gero, .hese, .seto, .peta, .moka, .meds, .kvag, 
.domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk,  
Исключение — файлы с расширениями: .coharos, .boot, .leto, .nakw, .toec, .lokf
***
3) Новый сервис расшифровки старых версий группы Djvu позволяет расшифровать файлы 
разных расширений (jpg. png, doc, pdf и др.). Здесь можно расшифровать файлы, которые 
были зашифрованы с помощью онлайн-ключей. 
Важное условие: наличие точной файловой пары (зашифрованный и оригинальный файлы). 
***
4) Дополнительный способ восстановления некоторых медиа-файлов: 
WAV, MP3, MP4, M4V, MOV, 3GP: disktuna.com/media_repair-file-repair-for-stop-djvu-mp3-mp4-3gp/
5) Способ восстановления файлов в архивах:
обычно повреждены первые 1-2 файла, остальные можно просто извлечь.

***
Оффлайн ID говорит о том, что файлы зашифрованы с помощью оффлайн-ключа.
После обнаружения этого ключа специалисты по расшифровке добавят его в базу
дешифровщика и файлы можно будет расшифровать.
Онлайн ID генерируется C&C-сервером вымогателей для STOP-Djvu Ransomware, когда
он атакует ПК пострадавшего. Если он есть на ПК, то это означает, что C&C-сервер
вымогателей сгенерировал случайный набор ключей, которые использовались
для шифрования файлов. Восстановление таких зашифрованных файлов невозможно.
Шифрование с алгоритмом RSA, используемое в вариантах группы Gero, не позволяет
использовать пару файлов "зашифрованный + оригинальный" для обучения сервиса расшифровки. Этот
защищенный тип шифрования устойчив ко взлому и невозможно расшифровать файлы без закрытого ключа.
Даже суперкомпьютеру на вычисление такого ключа потребуется десятки тысяч лет.
***

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as STOP)
 Write-up, Topic of Support, General support topic
 *

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author), GrujaRS, S!Ri, Emmanuel_ADC-Soft
 quietman7, Lawrence Abrams (BleepingComputer), pcrisk, Jirehlov
 (to the victims from the support topic and to all who send me samples)

Обнаружения: 
DrWeb -> Trojan.Encoder.26314, Trojan.PWS.Banker1.28986, Trojan.Encoder.26995, Trojan.Encoder.26996, Trojan.DownLoader27.16110, Trojan.DownLoader27.20574, Trojan.PWS.Siggen2.9186, Trojan.Siggen8.5440, Trojan.PWS.Stealer.24943, Trojan.Faker.12, Trojan.Siggen8.16294, Trojan.Siggen8.16299, Trojan.MulDrop8.58033, Trojan.PWS.Stealer.24943, Trojan.Siggen8.20167, Trojan.Siggen8.20394, Trojan.Siggen8.21202, Trojan.Siggen8.23665, Trojan.Encoder.27776, Trojan.MulDrop8.58040, Trojan.DownLoader28.16
BitDefender -> Gen:Heur.Ransom.RTH.1, Trojan.Ransom.Stop.A, Trojan.GenericKD.31342714, Trojan.GenericKD.31369885, Trojan.GenericKD.31500621, Trojan.GenericKD.31514824, Trojan.GenericKD.31517950, Trojan.GenericKD.31534187, Trojan.GenericKD.31534080, Trojan.GenericKD.31575808, Trojan.GenericKD.31691360, Trojan.MulDrop8.58033, Trojan.MulDrop8.58040, Trojan.GenericKD.31787961, Trojan.GenericKD.31789478, Trojan.GenericKD.40765609, Trojan.GenericKD.40841043,  Trojan.GenericKD.40878732, Trojan.GenericKD.40887380, Generic.Ransom.Stop.59BDDCFD, DeepScan:Generic.Zamg.8.*, DeepScan:Generic.Ransom.Stop.*, Gen:Variant.Trojan.Crypt.63, Trojan.GenericKD.31806757, Trojan.GenericKD.31809991, Trojan.GenericKD.31822410, Trojan.GenericKD.31823954, Trojan.GenericKD.31838431, Trojan.GenericKD.41139976, Trojan.GenericKD.41149918, Trojan.GenericKD.41197210, Gen:Variant.Ulise.35558, Gen:Heur.Titirez.1.F, Trojan.GenericKD.41257217, Trojan.GenericKD.41271436, Gen:Variant.Strictor.195347, Gen:Variant.Jaik.36875, Trojan.GenericKD.41638988, Trojan.GenericKD.41690750
Kaspersky -> Trojan.Win32.Scar.rmry, Trojan-PSW.Win32.Coins.nrc, Trojan-PSW.Win32.Coins.pek, Trojan.Win32.Scar.rsps, Trojan-PSW.Win32.Coins.qvc, Trojan-Banker.Win32.Jimmy.brm, Trojan.Win32.Agent.qwiwes, Trojan.Win32.Chapak.cyho, Trojan-Banker.Win32.Jimmy.czf
Malwarebytes -> Ransom.Chaicha, Trojan.MalPack, Trojan.Injector, Ransom.Salsa, Trojan.MalPack.GS.Generic
VBA32 -> TrojanRansom.Chaicha, BScope.TrojanPSW.Coins, BScope.Trojan.Chapak, BScope.Trojan.Tiggre, BScope.Trojan.Pushdo, BScope.Trojan.AntiAV, BScope.Backdoor.Mokes, Malware-Cryptor.Limpopo
ALYac -> Trojan.Ransom.Stop, Trojan.Fuerboos
Symantec -> Trojan.Gen.2, Ransom.Pots, Trojan.Gen.MBT
Tencent -> Win32.Trojan.Stop.*

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

суббота, 30 декабря 2017 г.

Bitcoin666

Bitcoin666 Ransomware

(шифровальщик-вымогатель)
Translation into English

пятница, 29 декабря 2017 г.

MadBit

MadBit Ransomware

(шифровальщик-вымогатель)

вторник, 26 декабря 2017 г.

Rozlok

Rozlok Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Tastylock CryptoMix

Tastylock CryptoMix Ransomware

Pulpy

Pulpy Ransomware

Aliases: ShiOne, Rasoon

(шифровальщик-вымогатель) (первоисточник)

Translation into English

понедельник, 25 декабря 2017 г.

STOP

STOP Ransomware

STOP-Keypass Ransomware

STOP-Djvu Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English Hot-STOP

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

суббота, 30 декабря 2017 г.

Bitcoin666 Ransomware

(шифровальщик-вымогатель) Translation into English

пятница, 29 декабря 2017 г.

MadBit Ransomware

(шифровальщик-вымогатель)

вторник, 26 декабря 2017 г.

Rozlok Ransomware

(шифровальщик-вымогатель) (первоисточник)

Tastylock CryptoMix Ransomware

Pulpy Ransomware

Aliases: ShiOne, Rasoon

(шифровальщик-вымогатель) (первоисточник)

понедельник, 25 декабря 2017 г.

STOP Ransomware

STOP-Keypass Ransomware

STOP-Djvu Ransomware

(шифровальщик-вымогатель) (первоисточник)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

суббота, 30 декабря 2017 г.

(шифровальщик-вымогатель)
Translation into English

пятница, 29 декабря 2017 г.

вторник, 26 декабря 2017 г.

понедельник, 25 декабря 2017 г.