суббота, 27 апреля 2019 г.

Zeropadypt, Ouroboros

Zeropadypt Ransomware

Zeropadypt NextGen: 

Ouroboros (LimboCrypt, Lazarus, Lazarus+, Kronos, Angus)


(фейк-шифровальщик, вымогатель-стиратель, деструктор) 

(шифровальщик-вымогатель в новых версиях) (первоисточник)
Translation into English


Этот крипто-вымогатель ничего не шифровал в первой версии, но заполняет содержимое файлов нулями, а затем требовал написать на email вымогателя, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

➤ В более новых версиях шифрование было реализовано в варианте Ouroboros (см. обновления после статьи). 

Обнаружений для Zeropadypt ранних версий нет. 

Обнаружения для варианта Ouroboros:
DrWeb -> Trojan.Encoder.28894, Trojan.Encoder.29266, Trojan.Encoder.29641
BitDefender -> Generic.Ransom.Ouroboros.*, Trojan.GenericKD.41540786, DeepScan:Generic.Ransom.Ouroboros.*, Gen:Heur.Ransom.Imps.3
ALYac -> Trojan.Ransom.Ouroboros, Gen:Heur.Ransom.Imps.3
Malwarebytes -> Ransom.Ouroboros
Symantec -> ML.Attribute.HighConfidence
VBA32 -> BScope.Trojan.DelShad

© Генеалогия (сходство): 0kilobypt и похожие >> Zeropadypt > Zeropadypt NextGen (Ouroboros)



Этимология названия: 
Оригинальное название неизвестно. Я дал название от "zero padded" или "zero padding" (дополненный нулями, заполнение нулями) + слово "crypt". 
В итоге: zero + pad + (cr)ypt = ZeroPadypt
Шифрования в первом варианте не было, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt RansomwareOrdinypt Ransomware, названные по той же схеме. 

К зашифрованным файлам в первых версиях вместо расширения добавлялось недорасширение: [id=xxxxxxxxxx][Email=asmo49@asmodeus.us]

Это недорасширение состоит из двух частей: 
[id=xxxxxxxxxx] - ID пострадавшего, в примере [id=aa47s5dnus]
[Email=asmo49@asmodeus.us] - email вымогателя


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-Me-Now.txt


Содержание записки о выкупе:
Your All Files Encrypted 
For Decrypt Your Data Contact Me: asmo49@asmodeus.us 
Your ID for Decryption: r4o7x*****
If You Try Decrypt your file and damage it is Gonna Cost You more Price to Decrypt 
you can Send 1MB Data For Decryption Test    


Перевод записки на русский язык:
Ваши все файлы зашифрованы
Для расшифровки ваших данных пишите мне: asmo49@asmodeus.us
Ваш ID для расшифровки: r4o7x*****
Если вы попытаетесь расшифровать ваш файл и повредите его, это будет стоить вам дороже, чем расшифровать 
вы можете отправить 1 МБ данных для тест-расшифровки



Технические детали

Часто распространяется как активатор к MS Office, ОС Windows и прочие. Это может быть файл Activator_Office.exe или что-то в этом роде. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробнее о файлах, заполненных нулями. 
 
Файл изображения не изменил размер до нулевого, а стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 
 
Файл записки не изменил размер до нулевого, но тоже стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 

На затронутом компьютере файлы можно восстановить из предыдущих версих файлов. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся поврежеднию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ-Me-Now.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asmo49@asmodeus.us
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Zeropadypt Ransomware - апрель 2019
LimboCrypt Ransomware - июнь-июль 2019 
Lazarus Ransomware - август 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 июня 2019:

Топик на форуме >>
Расширение: .limbo
Составное расширение: .[id=lz4ac3t***][Mail=legion.developers72@gmail.com].limbo
Записка: Read-Me-Now.txt
Email: legion.developers72@gmail.com
➤ Содержание записки: Your All Files Encrypted 
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test 
Your ID For Decryption:lz4ac3t***
Contact Us: legion.developers72@gmail.com
В этом варианте заполнение файла нулями неполное. Шифрование теперь присутствует. 
Вероятно, задача заполнения нулями не была выполнена до конца. 


Обновление от 17 июля 2019:
Файлы зашифрованы. 
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .limbo
Пример зашифрованного файла: Picture.jpg.[id=CRzj7w6liG][mail=BackFileHelp@protonmail.com].limbo
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
Email: BackFileHelp@protonmail.com
Файлы: Ouroboros_en.exe, Ouroboros_en.pdb
Результаты анализов: VT + HA + AR
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:
Contact Us: BackFileHelp@protonmail.com

Обновление от 25 июля 2019:
Топик на форуме >>
Расширение: ???
Записка: Read-Me-Now.txt
Email: dcyptfils@protonmail.ch
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:cad3IrmHfG
Contact Us: dcyptfils@protonmail.ch


Обновление от 5 августа 2019:
Файлы заполнены нулями.
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
➤ Содержание текста с экрана блокировки: 
Your Files Has Been locked
If You Need Your Files
You Should Pay Decryption Fee
You Can Send 1MB File For Being Sure Your Data Can Be Decrypted
If You Try to Decrypt Your Files With 3rd Party Applications
You May Damage Your Files And Decryption Fee will Be Double
Your ID: **********
Contact us for Decryption : letitbedecryptedzi@gmail.com

Обновление от 5 августа 2019:
Файлы зашифрованы. Нулей больше нет. 
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=SbPOa46zNc][Mail=RECOVERUNKNOWN@protonmail.com].Lazarus
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
В некоторых случаях записка также может быть зашифрована. 
Email: RECOVERUNKNOWN@protonmail.com
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:SbPOa46zNc
Contact Us: RECOVERUNKNOWN@protonmail.com

Обновление от 14 августа 2019:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=m5jfPTUZ0I][Mail=Helpcrypt1@tutanota.com].Lazarus
Записка: Read-Me-Now.txt
Email: Helpcrypt1@tutanota.com


Обновление от 16 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=PdlZmTcS4u][Mail=letitbedecryptedzi@gmail.com].Lazarus
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
Файлы: letitbedecryptedzi.exe, Ouroboros_en.pdb
Штамп времени: 2 августа 2019.
Результаты анализов: VT + AR



Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=unlockme123@protonmail.com].Lazarus
Записка: Read-Me-Now.txt
Файл: unlockme123@protonmail.com.exe
Местонахождение: 
C:\Users\User\AppData\Local\Temp\unlockme123@protonmail.com.exe
Результаты анализов: VT + AR

Обновление от 19 августа 2019: 
Расширение: .Lazarus
Пример составного расширения6 .[ID=6UcENb3ezh][Mail=letitbedecryptedzi@gmail.com].Lazarus
Email: letitbedecryptedzi@gmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:5CMOvsk***
Contact Us: letitbedecryptedzi@gmail.com

Обновление от 27 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Mr.TeslaBrain@gmail.com].Lazarus
Email: Mr.TeslaBrain@gmail.com
Распространяется как активатор для MS Office. 
Результаты анализов: VT + HA



Обновление от 27 августа 2019:
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Dataadecrypt@Cock.li].Lazarus
Email: Dataadecrypt@Cock.li


Обновление от 1 сентября 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=decryp7@foxmail.com].Lazarus
Email: decryp7@foxmail.com


Обновление от 8-10 сентября 2019:
Пост на форуме >>
Расширение: .Lazarus
Шаблон зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Decryptions@protonmail.com].Lazarus
Пример зашифрованного файла: RestSharp.xml.[ID=20JFkhKlzu][Mail=Decryptions@protonmail.com].Lazarus
Email: Decryptions@protonmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:20JFkhK***
Contact Us: Decryptions@protonmail.com


Обновление от 11 сентября 2019:
Пост на форуме >>
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=ScorpionEncryption@protonmail.com].Lazarus
Email: ScorpionEncryption@protonmail.com

Обновление от 13 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: .[ID=EO1Qqcm2lM][Mail=FilesHelp@tutanota.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: FilesHelp@tutanota.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EO1Qqcm***
 Our Email: FilesHelp@tutanota.com
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: Image.jpg.[ID=Au2Wegh***][Email=jacdecr@tuta.io].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: jacdecr@tuta.io

Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Image.jpg.[ID=flKR3NGHuw][Mail=Steven77xx@protonmail.com].Lazarus
Email: Steven77xx@protonmail.com

Обновление от 17 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла:.[ID=u2WegAh***][Email=Rezcrypt@cock.li].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Rezcrypt@cock.li
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EQqO2ml***
 Our Email: Rezcrypt@cock.li
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 17 сентября:
Пост на форуме >>
Новый формат добавляемого расширения:
Шаблон: .Email=(<email>)ID=.<random{15-17}>
Примеры: 
.Email=(legion.developers72@gmail.com)ID=.2JyLcseQVbaIXGi
.Email=(SuckBaBe@Rape.LoL)ID=.3NlgpjA6iOruxby
.Email(legion.developers72@gmail.com)(ID=.2JyLcseQVbaIXGi
.Email(SuckBaBe@Rape.LoL)(ID=.0WgxQvyj8XOTlE3

Обновление от 22 сентября:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Записка: HowToDecrypt.txt
Email: jacdecr@tuta.io
➤ Содержание записки:
Your Files Have Been Encrypted 
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :OQ0U8dJHt23z***
 Our Email: jacdecr@tuta.io
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 25 сентября:
Пост на форуме >>
Расширение: .KRONOS или .kronos
Составное расширение: .Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Записка: HowToDecrypt.txt
Email: Mr.TeslaBrain@gmail.com

Обновление от 29 сентября 2019:
Пост в Твиттере >>
Расширение: .KRONOS
Составное расширение: .Email=[Rezcrypt@cock.li]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Rezcrypt@cock.li]ID=[asWU0qXwntBRVlh].KRONOS
Записка: HowToDecrypt.txt
Email: Rezcrypt@cock.li
Файл EXE: Rezcrypt@cock.li_Kronos.exe
Файл проекта: motherfucker.pdb
Результаты анализов: VT + HA + IA + AR

Обновление от 1 октября 2019:
Пост в Твиттере >>
Расширение: .Angus
Составное расширение: .Email=[Legion.developers72@gmail.com]ID=[<id>].Angus
Пример зашифрованного файла: Image.jpg.Email=[Legion.developers72@gmail.com]ID=[RuJays3FTQ4P2gq].Angus
Записка: HowToDecrypt.txt
Email: Legion.developers72@gmail.com
Результаты анализов: VT + AR + IA + HA
Использует сайт www.sfml-dev.org/ip-provider.php для определения IP компьютера.
Файл проекта: D:\kronos+\motherfucker\Release\motherfucker.pdb
➤ Содержание записки:
Your Files Have Been Encrypted
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID : *****


Обновление от 2 октября 2019:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[decryptfiles@horsefucker.org]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[decryptfiles@horsefucker.org]ID=[ArL7Yv1EtQi5HRn].KRONOS
Email: decryptfiles@horsefucker.org

Обновление от 8 октября 2019:
Пост на форуме >>
Другие расширения:
.Email=[<email>]ID=[<id>].Unknown
.Email=[<email>]ID=[<id>].Skynet
.Email=[<email>]ID=[<id>].Rez
.Email=[<email>]ID=[<id>].Codelocks

Обновление от 8 октября 2019:
Пост на форуме >>
Расширение: .lol
Составное расширение: .Email=[Datarest0re@aol.com]ID=[<id>].lol
Пример зашифрованного файла: Image.jpg.Email=[Datarest0re@aol.com]ID=[mHYdZEKBMUqbaCs].lol
Email: Datarest0re@aol.com, Datarest0re@protonmail.com 
Jabber: datarest0re@xmpp.jp
Записка: HowToDecrypt.txt
➤ Содержание записки:
Your ID :mHYdZEKBMUqbaCs
 Our Email: Datarest0re@aol.com
in case of no answer contact : Datarest0re@protonmail.com
 jabber id:datarest0re@xmpp.jp
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 8 октября 2019:
Расширение: .hiddenhelp
Составное расширение: .Email=[Hiddenhelp@cock.li]ID=[<id>].hiddenhelp
Пример зашифрованного файла: Image.jpg.Email=[Hiddenhelp@cock.li]ID=[KXM5ZYgE4BisA9L].hiddenhelp
Email: Hiddenhelp@cock.li

Обновление от 10 октября 2019:
Email: legion.developers72@gmail.com, decodehelp@cock.li  
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: legion.developers72@gmail.com
in Case of No Answer: decodehelp@cock.li
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 11 октября 2019: 
Статус: файлы можно расшифровать. 
Топик на форуме >>
Пост в Твиттере >>
Расширение: .James
Составное расширение: Email=[RestoreData@airmail.cc]ID=[XXXXXXXXXXXXXXX].James
Записка: HowToDecrypt.txt
Экран блокировки с сообщением >>
 
Email: RestoreData@airmail.cc
Файл EXE: uiapp.exe
Результаты анализов: VT + IA + AR
Видеообзор с требованиями выкупа:


Обновление от 11 октября 2019:
Статус: файлы не расшифровать. 
Идентификация в IDR: Ouroboros v6
Пост в Твиттере >>
Топик на форуме >>
Пост на форуме >>
Шифрование: RSA+AES 256 GCM
Расширение: .odveta
Составное расширение: .Email=[fixallfiles@tuta.io]ID=[<id>].odveta
Пример зашифрованного файла: Image.jpg.Email=[fixallfiles@tuta.io]ID=[YE1GTCOVQZNRXDW].odveta
Записка: HowToDecrypt.txt
Email: fixallfiles@tuta.io
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: fixallfiles@tuta.io
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
В некоторых случаях можно расшифровать файлы!
Рекомендуем обратиться по ссылке, указанной здесь. 
Подробнее о поддерживаемых версиях расшифровщика >> 
*
 Read to links: 
 Tweet on Twitter (myTweet)
 ID Ransomware (ID as Zeropadypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid, GrujaRS
 James, M. Shahpasandi
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton