воскресенье, 30 декабря 2018 г.

Unnamed Bin

Unnamed Bin Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.047831 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.


К зашифрованным файлам добавляется расширение: .bin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Hello, you or someone who are using this computer has downloaded a game/software illegally.
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme.
To recover your files your only option is to send the following amount of Bitcoin to the following address. Be careful, send the exact amount.
Amount (BTC): 0.047831
Address: bc1q7nr4m6vyxv9t0pcgs7fnd8sxuk78j3jh9g7vwy
Where to buy Bitcoins? https://localbitcoins.com/
Once the transaction will be confirmed by the network (up to 1hour), decryption of your files will start.

Перевод записки на русский язык:
Привет! Вы или кто-то, кто использует этот компьютер, незаконно загрузили игру / программу.
К сожалению, вредоносная программа заразила ваш компьютер, и большое количество ваших файлов было зашифровано с использованием гибридной схемы шифрования.
Чтобы восстановить ваши файлы, вы можете отправить следующую сумму биткоинов по следующему адресу. Будьте внимательны, пришлите точную сумму.
Сумма (BTC): 0.047831
Адрес: bc1q7nr4m6vyxv9t0pcgs7fnd8sxuk78j3jh9g7vwy
Где купить биткойны? https://localbitcoins.com/
Как только транзакция будет подтверждена сетью (до 1 часа), начнется расшифровка ваших файлов.

Проверка показала, что указанный в записке биткоин-адрес не существует или написан неправильно. Уплата выкупа бесполезна. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 victims in the topics of support
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 26 декабря 2018 г.

Snatch

Snatch Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей и сетевых ресурсов с помощью AES, а затем требует выкуп в 1-5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на языке Go. Распространяется группой, называющей себя Snatch Team

Обнаружения:
DrWeb -> Trojan.Encoder.27215, Trojan.Encoder.27230, Trojan.Encoder.27997, Trojan.Encoder.30050
BitDefender -> Gen:Variant.Razy.480981, Trojan.GenericKD.31697664, Trojan.GenericKD.31699206, Generic.Ransom.Snatch.B5ABCDA4, Gen:Variant.Ransom.Snatch.2
Kaspersky -> Trojan.Win32.DelShad.co
Malwarebytes -> Ransom.Snatch
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .snatch

Этимология названия:
Название "Snatch" связано с фильмом "Snatch" ("Большой куш", 2000 г.). Записка с требованием выкупа содержит email-адрес imBoristheBlade@protonmail.com, который указывает на персонажа фильма Бориса Юринова, по прозвищу Boris "The Blade" или Boris "The Bullet-Dodger".

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme_Restore_Files.txt

Содержание записки о выкупе:
All your files are encrypted
Do not try modify files
My email imBoristheBlade@protonmail.com

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Не пытайтесь изменять файлы
Мой email imBoristheBlade@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Совмещается с похитителями информации, чтобы получить с атакованных компьютеров и организаций "Большой куш": — Воровать и шифровать!  

Позже стало известно...
Вымогатели, распространяющие Snatch, стремятся проникнуть в корпоративные сети, используя автоматические атаки и брутфорс на уязвимые уязвимые сервисы, а затем стремятся распространить вредоносное ПО в сети целевой организации посредством действий, ориентированных на человека. У всех организаций, где были обнаружены вредоносные файлы Snatch и сопутствующие вредоносные элементы, позднее было обнаружено, что один или несколько компьютеров с RDP открыты для доступа в Интернет. После первоначального вторжения злоумышленники вошли в систему на контроллере домена (DC), используя сервер Azure в качестве точки опоры, злоумышленники использовали учетную запись администратора, поддерживали доступ, собирали и извлекали информацию, а также отслеживали скомпрометированную сеть организации в течение нескольких недель. Они также устанавливают ПО для наблюдения примерно на 5% всех компьютеров в сети, что помогает обеспечивать удаленный доступ, позволяющий поддерживать постоянство в скомпрометированной сети, даже если скомпрометированный сервер Azure будет отключен.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Маркер, которым помечаются зашифрованные файлы.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme_Restore_Files.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: imBoristheBlade@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

➤ Образцы обычно упакованы UPX с открытым исходным кодом, чтобы скрыть их содержимое.

➤ Шифровальщик пропускает следующие директории: 
C:\
windows
recovery
$recycle.bin
perflogs
Program Files
ProgramData
start menu
microsoft
templates
favorites
system volume information
common files
dvd maker
internet explorer
microsoft
mozilla firefox
reference assemblies
tap-windows
windows defender
windows journal
windows mail
windows media player
windows nt
windows photo viewer

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .FileSlack
Записка: Readme_Restore_Files.txt
Email: gomer@horsefucker.org, gomersimpson@keemail.me
➤ Содержание записки: 
All your files are encrypted
Do not try modify files
My email gomer@horsefucker.org, gomersimpson@keemail.me
➤ Маркер, которым помечаются зашифрованные файлы.


Обновление от 14 февраля 2019:
Пост в Твиттере >>  
Пост в Твиттере >>
Расширение: .jupstb
Записка: Readme_Restore_Files.txt
➤ Содержание записки: 
Attention!
Do not rename the ciphered files.
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email johnsonwhate@protonmail.com, johnsonwhate@tutanota.com
Файл EXE: jupstb.exe
Результаты анализов: VT + VT
➤ Маркер, которым помечаются зашифрованные файлы.

Обновление от 20 февраля 2019:
Пост в Твиттере >>
Первая загрузка в ID Ransomware была из России. 
Расширение: .cekisan
Email: A654763764@qq.com
Записка: Readme_Restore_Files.txt
➤ Содержание записки: 
Attention!
Do not rename the ciphered files.
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email A654763764@qq.com
Маркер файлов похож на предыдущие. 

Обновление от 5 марта 2019:
Пост в Твиттере >>
Расширение: .icp
Записка: Restore_ICPICP_Files.txt
Email: 
decrypter02@cumallover.me, piterpen02@keemail.me
➤ Содержание записки: 
Attention!
Do not rename the ciphered files
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email decrypter02@cumallover.me,piterpen02@keemail.me



Обновление от 16 марта 2019:
Пост в Твиттере >>
Расширение: .jimm
Записка: Restore_JIMM_Files.txt
Email: jimmtheworm@dicksinmyan.us
➤ Содержание записки: 
Attention!
Do not rename the ciphered files
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss
You do not joke with files.
My email jimmtheworm@dicksinmyan.us


Обновление от 18 марта 2019:
Топик на форуме >>
Расширение: .FKVGM
Записка: Restore_FKVGM_Files.txt

Обновление от 6 апреля 2019:
Несколько признаков говорят, что это действительно может быть Snatch, только немного измененный. Вымогатели, конечно, пытаются обмануть пострадавших, чтобы они в поисках помощи не смогли ее получить и попытки дешифровки другими средствами потерпели неудачу. 
Условное расширение: .abcde  
Шаблон расширения: .<name_pc-user>, .<name_company>
Записка (пример): DECRYPT_ABCDE_FILES.txt
Записка в реальном случае: DECRYPT_FANOT_FILES.txt
Шаблон записки: 
DECRYPT_<name_pc-user>_FILES.txt
DECRYPT_<name_company>_FILES.txt
URL: xxxx://krismalt.tk
TOR_URL: xxxx://snatchh5ssxiorrn.onion
BTC: 13NtqiVEhw7kmGJhbnxUvJ2XyqXA2xKVHa
НА сайте вымогателей есть три страницы: Payment, Support (chat). Test decrypt, FAQ
Имя ПК я заменил на ABCDE. Это заметно на первой картинке. 
Часть диалога (конкретно: слова пострадавшего) я также скрыл. 
Я оставил только ответы вымогателей, как доказательства того, что они на самом деле хотят 5 BTC и угрожают опубликовать украденные данные с ПК пострадавшего. 



Обновление от 26 апреля 2019:
Пост в Твиттере >>
Расширение: .hceem
Записка: RESTORE_HCEEM_DATA.txt
Email: newrecoverybot@pm.me
BTC: 13TvbUKYEAqwu3FP7RDu8vZhVucmUg9Zxy
URL: xxxx//mydatassuperhero.com
Tor-URL: xxxx//snatch6brk4nfczg.onion
Результаты анализов: VT + VMR

Обновление от 23 июня 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .cbs0z
Записка: RESTORE_CBS0Z_DATA.txt
Email: sqlbackup3@mail.fr
BTC: 1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
➤ Содержание записки: 
1. Decoding cost
The cost of decryption is 6000$. (Bitcoin is a form of digital currency) in 72 hours the price will be 10,000 dollars.
Smart pays quickly. Immediately after payment - all your files will be restored.
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
IMPORTANT! - if you, your programmers or your friends will help you decrypt your files - this can lead to data loss. even when you pay we will not be able to help you. Do not joke with files.
Contact Email
sqlbackup3@mail.fr
3. Free decryption as guarantee
You can send us up to 3 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number:
1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
. As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
important! smart pays quickly. Immediately after payment, your files will be decrypted and you can continue to work peacefully. We will also give recommendations on what needs to be done so that you do not have any more security problems.
Contact Email
sqlbackup3@mail.fr
PLEASE DO NOT CREATE A NEW LETTER! RESPOND TO THE
LETTER TO THIS LETTER.
This will allow us to see all the history of the census in
one place and respond quickly to you.

Обновление от 12 августа 2019:
Сообщения с форума киберподполья:

Bullet Tooth Tony, который постит объявления — это тоже персонаж из фильма "Snatch" (2000 г.). См. "Этимологию названия" в начале статьи. 

Обновление от 20 августа 2019:
Топик на форуме >>
Расширение: .ohwqg 
Email: doctor666@mail.fr
Записка: DECRYPT_OHWQG_FILES.txt
➤ Содержание записки:
Hello! Your all your files are encrypted and only I can decrypt them.
my mail is 
doctor666@mail.fr
Write me if you want to return your files - I can do it very quickly!
Attention!
Do not rename encrypted files. You may have permanent data loss.
You can be a victim of fraud
To prove that I can recover your files, I am ready to decrypt any three files for free (except databases, Excel and backups)
PLEASE DO NOT CREATE A NEW LETTER! RESPOND TO THE
LETTER TO THIS LETTER.
This will allow us to see all the history of the census in
one place and respond quickly to you.
hurry up!

Обновление от 10 декабря 2019:
➤ Новый вариант Snatch перезагружает ПК, чтобы удалить антивирусы, а потом зашифровать файлы. 
Компонент Snatch Ransomware устанавливается в качестве службы Windows под названием SuperBackupMan, способной работать устойчиво в безопасном режиме.
В реестре для этого прописывается следующий ключ:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service

SuperBackupMan не может быть остановлен или приостановлен пользователем во время работы, а затем принудительно перезагружает компьютеры в безопасном режиме, чтобы отключить любые антивирусные программы и зашифровать файлы. 
После того, как ПК перезагружается в безопасном режиме Windows, вредонос удаляет все тома теневых копии файлов, чтобы не позволить восстановить файлы после шифрования их теневых копий. На следующем этапе Snatch начинает шифровать файлы. Это возможно на ПК, работающих под управлением Windows 7-8-10 (32-x и 64x).
Исследователи из Sophos сделали видео-демонстрацию, демонстрирующую эти вредоносные действия Snatch.
Ссылки на статьи:
от Sophos News >>
от BleepingComputerpuer >>



Обновление от 28 ноября 2019:
Пост в Твиттере >>
Расширение: .wvtr0 
Записка: RESTORE_WVTR0_FILES.txt
Email: newrecoveryrobot@pm.me
Файл: wvtr0x64.exe
Результаты анализов: VT + HA + IA 

Обновление от 2 января 2020:
Пост в Твиттере >>
Расширение: .tl30z или .<random>
Записка:  DECRYPT_TL30Z_FILES.txt или  DECRYPT_<RANDOM>_FILES.txt
Email: repairdb@seznam.cz, repairdb@mail.fr
➤ Содержание записки:
Hello!
All your files are encrypted, write to me if you want to return your files - I can do it very quickly!
Contact me by e-mail:
repairdb@seznam.cz or repairdb@mail.fr
The name of the letter must contain an encryption extension
Do not rename encrypted files, you may lose your files permanently.
You may be a victim of fraud. Free decryption as guarantee. 
Send us up to 3 files for free decryption.
The total size of files must be less than 1 Mb! (non archived), and files should not contain valuable information. (databases,backups, large excel sheets etc.)
!!! Do not turn off or restart the NAS equipment. This will result in data loss !!!
Результаты анализов: VT + HA + VMR + AR
➤ Новые обнаружения: 
DrWeb  ->  Trojan.Encoder.30050
BitDefender  ->  Generic.Ransom.Snatch.B5ABCDA4
Symantec -> ML.Attribute.HighConfidence



Обновление от 12 января 2020:
Расширение: .<random{10}> или .<random
Записка: RESTORE_<RANDOM>_FILES.txt
Email: decryptor911@airmail.cc, decryptor666@420blaze.it
➤ Содержание записки:
Hello, *******! 
All your files are encrypted and only I can decrypt them.
Contact me:
decryptor911@airmail.cc or decryptor666@420blaze.it
Write me if you want to return your files - I can do it very quickly!
The header of letter must contain extension of encrypted files.
I'm always reply within 24 hours. If not - check spam folder, resend your letter or try send letter from another email service (like protonmail.com).
Attention!
Do not rename or edit encrypted files: you may have permanent data loss.
To prove that I can recover your files, I am ready to decrypt any three files (less than 1Mb) for free (except databases, Excel and backups).
HURRY UP!
If you do not email me in the next 48 hours then your data may be lost permanently.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Snatch)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 GrujaRS
 *
 affected users

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 25 декабря 2018 г.

Project57

Project57 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0 BTC, чтобы вернуть файлы. Оригинальное название: Project57 или другое. На файле написано: Project57.exe.

© Генеалогия: предыдущие проекты >> Project57

К зашифрованным файлам добавляется расширение: .костя баранин
Фактически используется .[ti_kozel@lashbania.tv].костя баранин

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT.HTML
DECRYPT.TXT

Содержание HTML-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv. Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Информация
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!


Содержание TXT-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. 
Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv
Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. 
ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!

Также используется экран блокировки, в котором отображается список зашифрованных файлов и сначала виден только текст до идентификатора и сам идентификатор. 
При двойном клике по серому фону и 2 раза по заголовку "Ваши файлы заблокированы" появляется текст, направленный против автора GandCrab. 
Его же можно увидеть, если заглянуть в код веб-файла DECRYPT.HTML (строка 16). 

Грамотность автора текстов просто никакая. Ошибки почти в каждом предложении и друг на друге. Видимо тот, кто писал текст записки, "кодить и шкодить начал одновременно". Хотя, возможно, что эти ошибки сделаны намеренно. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используется Delphi и PHP интерпретатор.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.HTML
DECRYPT.TXT
php5ts.dll

Sample.exe
Project57.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ti_kozel@lashbania.tv
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>> VT>> VT>>
🐞 Intezer анализ >>  IA>>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet 
 ID Ransomware (ID as Project57)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, GrujaRS, Petrovic
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton