Если вы не видите здесь изображений, то используйте VPN.

суббота, 30 июня 2018 г.

THT

THT Ransomware

TimisoaraHackerTeam Ransomware

(BestCrypt-based Ransomware)

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные на серверах организаций с помощью AES, а затем требует выкуп в 10 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: *нет данных*.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme unlock.txt

Содержание записки о выкупе:
Hello. Sorry, your company's server hard drive was encrypted by us.
We use the most complex encryption algorithm (AES256). Only we can decrypt.
Please contact us: TimisoaraHackerTeam@protonmail.com (Please check spam, Avoid missing mail)
Identification code: ******* (Please tell us the identification code)
Ransom: Please pay 10 bitcoins. After the payment is successful, we will tell the Password.
(If the contact is fast, we will give you a discount.)
In order for you to believe in us, we have prepared the test server. Please contact us and we will tell the test server and decrypt the password.
How to buy and pay for Bitcoin: 
xxxx://www.localbitcoins. com
Or you can google search "How to buy Bitcoin"
If you know other trading websites better.
We are a professional hacker team, not a virus. We only take directional attacks. We know everything about your company. If you refuse to pay, we will disclose important documents that we have (file, email, contracts and many more).
We are a reputable organization and definitely not a liar. Our business covers more than 20 countries around the world. There are hundreds of companies that have successfully unlocked.

Перевод записки на русский язык ("грамотность" оригинала):
Привет. К сожалению, серверный жесткий диск вашей компании был зашифрован нами.
Мы используем самый сложный алгоритм шифрования (AES256). Только мы можем расшифровать.
Пожалуйста, свяжитесь с нами: TimisoaraHackerTeam@protonmail.com (Пожалуйста, проверьте спам, избегайте пропажи почты)
Идентификационный код: ******* (Пожалуйста, сообщите нам идентификационный код)
Выкуп: Заплатите 10 биткоинов. После успешной оплаты мы сообщим пароль.
(Если контакт будет быстрым, мы предоставим вам скидку.)
Чтобы вы поверили в нас, мы подготовили тестовый сервер. Пожалуйста, свяжитесь с нами, и мы скажем тестовый сервер и расшифруем пароль.
Как купить и оплатить биткоин:
xxxx://www.localbitcoins.com
Или вы можете поискать в Google "How to buy Bitcoin"
Если вы знаете другие торговые сайты лучше.
Мы профессиональная команда хакеров, а не вирус. Мы проводим направленные атаки. Мы знаем все о вашей компании. Если вы откажетесь платить, мы раскроем важные документы, которые у нас есть (файл, email, контракты и многое другое).
Мы уважаемая организация и определенно не лжец. Наш бизнес охватывает более 20 стран мира. Есть сотни компаний, которые успешно разблокированы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme unlock.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
TimisoaraHackerTeam@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2018:
Записка: Readme unlock.txt
Email: m4xroothackerteam@protonmail.com
➤ Содержание записки:
Hello. Sorry, your company's server hard drive was encrypted by us.
We use the most complex encryption algorithm (AES256).Only we can decrypt.
Please contact us: m4xroothackerteam@protonmail.com  (Please check spam,Avoid missing mail)
Identification code:3GRRR9RW*** (Please tell us the identification code)
Ransom: Please pay bitcoins.After the payment is successful, we will tell the Password.
(If the contact is fast, we will give you a discount.)
In order for you to believe in us, we have prepared the test server.Please contact us and we will tell the test server and decrypt the password.
How to buy and pay for Bitcoin:
http://www.localbitcoins.com
Or you can google search "How to buy Bitcoin"
If you know other trading websites better.
We are a professional hacker team, not a virus.We only take directional attacks.We know everything about your company.If you refuse to pay, we will disclose important documents that we have(file,email,contracts and many more).
We are a reputable organization and definitely not a liar.Our business covers more than 20 countries around the world. There are hundreds of companies that have successfully unlocked.
---

Обновление от 25 февраля 2020:
Топик на форуме >>
Пост в Твиттере >>
Email: Vitaly.Yermakov@protonmail.com, VitalyYermakov@cock.li
Записка: Readme unlock.txt
➤ Содержание записки:
Hello. Your company's server hard drive was encrypted by us.
We use the most complex encryption algorithm (AES256).Only we can decrypt.
Please contact us: Vitaly.Yermakov@protonmail.com 
(Please check spam,Avoid missing mail)
Identification code: O0AgnFIOS***  (Please tell us the identification code)
Please contact us and we will tell you the amount of ransom and how to pay.
(If the contact is fast, we will give you a discount.)
After the payment is successful, we will tell the decrypt password.
In order for you to believe in us, we have prepared the test server.Please contact us and we will tell the test server and decrypt the password.
Please do not scan encrypted hard drives or attempt to recover data.Prevent data corruption.
How to buy and pay for Bitcoin:
http://www.localbitcoins.com
Or you can google search "How to buy Bitcoin"
If you know other trading websites better.
Tips:
If we don't respond in three days. Please contact an alternate mailbox:VitalyYermakov@cock.li
We will enable the alternate mailbox only if the first mailbox is not working properly.
---
Шифрование могло быть проведено с помощью BestCrypt, т.к. был обнаружены файлы bcfmgr.exe и rescue.rsc. Об этом на сайте jetico.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (THT Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 29 июня 2018 г.

BloodJaws

BloodJaws Ransomware
BloodJaws Ransomware pack

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, если пользователь сам его запустит. В записке предлагается запустить дешифровщик из набора и вернуть файлы бесплатно. Никакого выкупа не требуется. Оригинальное название: Blood Jaws ransomware. На файлах написано: runme.exe, bloodjaws.exe.

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Blood Jaws ransomware
Blood Jaws is ransomware!
Run at your own risk. Run 'runme.exe' if you really want to kill your PC.
I am not responsible for any damage done.
Tested on Windows 10 (64)
Virus made by Virus Express.
Encryption Used:
AES 256 Bit Encryption used with the password: bloodjawsencryptionl23!@:

Перевод записки на русский язык:
Blood Jaws ransomware
Blood Jaws это программа-вымогатель!
Запускай на свой страх и риск. Запусти runme.exe, если ты точно хочешь убить свой ПК.
Я не несу ответственности за нанесенный ущерб.
Протестировано на Windows 10 (64)
Вирус, созданный Virus Express.
Используемое шифрование:
Шифрование AES-256 бит, используемое с паролем: bloodjawsencryptionl23!@:


Другим информатором жертвы является изображение с сообщением:

Содержание текста с картинки:
Your personal files have been encrypted.
All images, videos, music, documents and executables on this PC have been encrypted by Blood Jaws ransomware.
To decrypt your files, locate and run the Blood Jaws decryption program. It is called 'bloodjaws.exe'. Decryption is free.
Do not delete the Blood Jaws Decryption program if you want to be able to decrypt your computer.
Uninstall your antiviruses as they may try to uninstall the Blood Jaws Decryption program which is your only way of saving your PC.

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы.
Все изображения, видео, музыка, документы и исполняемые файлы на этом компьютере были зашифрованы Blood Jaws ransomware.
Чтобы расшифровать ваши файлы, найдите и запустите программу расшифровки Blood Jaws. Он называется bloodjaws.exe. Расшифровка бесплатна.
Не удаляйте программу расшифровки Blood Jaws, если вы хотите расшифровать свой компьютер.
Удалите антивирусы, поскольку они могут попробовать удалить программу расшифровки Blood Jaws, которая является единственным способом сохранения вашего ПК.



Технические детали

Пока распространяется разработчиком с предупреждением, что это программа-вымогатель и запускать exe-файл можно только на свой страх и риск. 
В будущем, если кто-то захочет изменить параметры распространения и массово причинять вред компьютерам пользователь, может начать распространяться через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Внутри декриптора есть email, который используется для отправки ключа на email-адрес жертвы или что-то в этом роде. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
runme.exe / virus.exe - исполняемый файл вымогателя
bloodjaws.exe / decryptor.exe - декриптор вымогателя
readme.txt - записка о выкупе
message.png - изображение с сообщением
<random>.exe - файл со случайным названием

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>> VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnimusLocker

AnimusLocker Ransomware
Animus Locker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Animus Locker. На файле написано: Ransom.exe.

© Генеалогия: AuroraGeneric Malware > AnimusLocker

К зашифрованным файлам добавляется расширение: .animus


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину - конец июня 2018 г. (штамп времени на файле: 19-Jun-2018 13:01:33). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Они аналогичны по содержанию. 
AnimusLocker note

Содержание записки о выкупе:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit),
We strongly RECOMMEND you not to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price,
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
j0ra@protonmail.com
########
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
Without it we will not be able to decrypt your files
########
And pay 100$ on 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH wallet
If someone else offers you files restoring, ask him for test decryption,
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>

Перевод записки на русский язык:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровывается случайным ключом.
Случайный ключ зашифровывается открытым ключом RSA (2048 бит),
Мы очень рекомендуем вам не использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене,
Если вы хотите расшифровать свои файлы, вы должны получить закрытый ключ RSA.
Чтобы получить секретный ключ, напишите сюда:
j0ra@protonmail.com
########
!ВНИМАНИЕ!
Прикрепите файл 000000000.key из %appdata% к email-сообщению,
Без него мы не сможем расшифровать ваши файлы
########
И заплатите 100$ на 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH кошелек
Если кто-то еще предлагает вам восстановление файлов, запросите у него тест расшифровку,
  Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.db, .doc, .docx, .js, .jpg, .png, .xls, .xlsx, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Ransom.exe
<random>.exe - случайное название
000000000.key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\000000000.key

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: j0ra@protonmail.com 
BTC: 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018

Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 июля 2018:
Пост в Твиттере >>
Статус: Файлы можно расшифровать!
Самоназвание: desu ransomware
Расширение: .desu
Записки: @_DECRYPT_@.txt, @_DECRYPT2_@.txt, @_DECRYPT3_@.txt
Сумма выкупа: $200
Email: j0ra@protonmail.com
BTC: 1ARDXRQsvnsYiM5jZczFagtCrAzSFC1Qmy
Результаты анализов: VT
Вероятно, делает попытку перезаписать MBR, чтобы показать свой текст на чёрном фоне.



Обновление от 30 тюля 2018:
Расширение: .desu
Файлы переменовываются в HEX. 
Файлы записок: ©_RESTORE_PC_1.txt, ©_REST0RE_PC_2.txt, ©_REST0RE_PC_3.txt
Email-1: UnlockAlexKingman@protonmail.com
Email-2: hellstaff@india.com
Статус: файлы можно дешифровать. 
Файл: BadRansomware.exe и варианты
Результаты анализов: VT + VT + VMRay






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик по этой ссылке >>
Это общий дешифровщик для Aurora, AnimusLocker, ONI.
***
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID under Aurora)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov, GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 21 июня 2018 г.

WannaSpam

WannaSpam Ransomware

(спам-вымогатель, фейк-шифровальщик)
Translation into English


Этот спам-вымогатель в спам-письмах выдаёт себя за WannaCry, якобы шифрует как данные и требует выкуп в 0.1 BTC, угрожая стереть данные. Распространитель: WannaCry-Hack-Team. 

© Генеалогия: fake WannaCry >> WannaSpam


Внимание! Если вы получили одно из таких писем, просто нажмите в вашем почтовом ящике на "Удалить". Ничего плохого с вашим ПК не случилось, WannaCry не вернулся, ваши файлы не будут удалены, а это всего лишь афера. Ничего не шифруется. 


Заголовки таких писем могут отличаться друг от друга. Вот известные варианты со словами "Attantion":
!!!Attantion WannaCry!!!
!!!WannaCry-Team Attantion!!!
Attantion WannaCry
WannaCry Attantion!
WannaCry-Team Attantion!!!

Рассылка этого спам-вымогателя пришлась на вторую половину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


 
Скриншоты спам-писем от вымогателей

Содержание письма вымогателей:
From: WannaCry-Hack-team soetrisno.bachir@kein.go.id
Sent: 21 June 2018 10:36
To: ***
Subject: WannaCry Attantion!
---
Hello! WannaCry returned! All your devices were cracked with our program installed on them. We have made improvements for operation of our program, so you will not be able to regain the data after the attack.
All the information will be encrypted and then erased. Antivirus software will not be able to detect our program, while firewalls will be impotent against our one-of-a-kind code.
Should your files be encrypted, you will lose them forever.
Our program also outspreads through the local network, erasing data on all computers connected to the network and remote servers, all cloud-stored data, and freezing website operation. We have already deployed our program on your devices.
Deletion of your data will take place on June 22, 2018, at 5:00 - 10:00 PM. All data stored on your computers, servers, and mobile devices will be destroyed. Devices working on any version of Windows, iOS, macOS, Android, and Linux are subject to data erasion.
In order to ensure against data demolition, you can pay 0.1 BTC (~$650) to the bitcoin wallet:1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
You must pay in due time and notify us about the payment via email until 5:00 PM on June 22, 2018. After payment confirmation, we will send you instructions on how to avoid data erasion and such situations in future. In case you try to delete our program yourself, data erasion will commence immediately.
To pay with bitcoins, please use localbitcoins.com or other similar services, or just google for other means. After payment write to us: [support_wc@bitmessage.ch](mailto:support_wc@bitmessage.ch)

Перевод письма на русский язык:
From: WannaCry-Hack-team soetrisno.bachir@kein.go.id
Sent: 21 June 2018 10:36
To: ***
Subject: WannaCry Внимание!
---
Привет! WannaCry вернулся! Все ваши устройства были взломаны нашей программой, установленной на них. Мы улучшили работу нашей программы, поэтому после атаки вам не удастся восстановить данные.
Вся информация будет зашифрована, а затем стерта. Антивирусная программа не сможет обнаружить нашу программу, в то время как брандмауэры будут бессильны против нашего единственного в своем роде кода.
Если ваши файлы будут зашифрованы, вы потеряете их навсегда.
Наша программа также распространяется через локальную сеть, удаляя данные на всех компьютерах, подключенных к сети и удаленных серверах, всех облачных данных и замораживая работу сайта. Мы уже развернули нашу программу на ваших устройствах.
Удаление ваших данных состоится 22 июня 2018 года в 5:00 - 22:00. Все данные, хранящиеся на ваших компьютерах, серверах и мобильных устройствах, будут уничтожены. Устройства, работающие с любой версией Windows, iOS, MacOS, Android и Linux, подвержены стиранию данных.
Чтобы обеспечить защиту от разрушения данных, вы можете заплатить 0.1 BTC (~$650) на биткоин-кошелек: 1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
Вы должны заплатить вовремя и уведомить нас об оплате по email до 5:00 вечера 22 июня 2018 года. После подтверждения оплаты мы отправим вам инструкции о том, как избежать стирания данных и таких ситуаций в будущем. В случае, если вы попытаетесь удалить нашу программу самостоятельно, начнется немедленное уничтожение данных.
Чтобы заплатить биткоинами, используйте localbitcoins.com или другие подобные услуги или просто гуглите другие способы. После оплаты напишите нам: [support_wc@bitmessage.ch] (mailto: support_wc@bitmessage.ch)



Технические детали

Распространяется как email-спама. Не исключено использование вместе с таким письмом вредоносных вложений, ссылок на вредоносные сайты, обманных загрузок. Будьте разумны и бдительны! См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, если, конечно, вы не скачаете что-то вредоносное. 

Файлы, связанные с этим Ransomware:
<malicious_attachment> - любое вложение в таких письмах вредоносное 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support_wc@bitmessage.ch
BTC: 1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
16Tq8gaad5FJ3c6mrC86e1pmqQ666dYSvv
13AEiPcnqHRRwbJRUsPLbcgX3roTTPGSMu
15TxgGK5AMvdeupbcKbk3g36zctnS9ThnU
1FXZ9yoagBMnnrkZscQzKnC2hkgX5uDgUR
12TZJJ7818HLHVXhLCbNM1JfHHDpRZLDGv
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as WannaSpam)
 Write-up, Write-up, Write-up
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *