четверг, 16 мая 2019 г.

Buran, Buran 2.0

Buran Ransomware

Buran 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC (или больше), чтобы вернуть файлы. Оригинальное название: BURAN (Buran). На файле написано: ctfmon.exe или что-то другое. Написан на Borland Delphi. 

Обнаружения: 
DrWeb -> Trojan.Encoder.28441
BitDefender -> Trojan.GenericKD.41353773
Symantec -> ML.Attribute.HighConfidence
Malwarebytes -> Ransom.Jamper.brn

© Генеалогия: Vega (VegaLocker) > Jamper (Jumper) > BURAN (Buran) > Buran-Ghost > другие варианты


Изображение многоразового космического корабля "Буран" (СССР)


Вырезка из кода Buran Ransomware

К зашифрованным файлам добавляется расширение по шаблону "8-4-4-4-12": .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Примеры расширений:
.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Примеры зашифрованных файлов: 
Document.doc.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
CO.pdf.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
peaceable.jpg.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

Содержание записки о выкупе:
Hello. Your files are encrypted. Do not worry, we can help you. You can contact us by email. 
recovery_server@protonmail.com 
recovery1server@cock.li 
Send us 3-5 any encrypted files no larger than 10 MB. And also send us your personal ID: 
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Attention !!! 
Send a message to both mailboxes, since the letter cannot get into one of the mailboxes.

Перевод записки на русский язык:
Привет. Ваши файлы зашифрованы. Не волнуйтесь, мы можем вам помочь. Вы можете написать нам на email.
recovery_server@protonmail.com
recovery1server@cock.li
Отправьте нам 3-5 любых зашифрованных файлов размером не более 10 МБ. А также отправьте нам свой личный ID:
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Внимание !!!
Отправьте сообщение на оба почтовых ящика, т.к. письмо не может попасть в один из почтовых ящиков.



Технические детали

Распространяется как Ransomware для продажи на подпольных форумах.
Текст на форумах распространитель пишет на русском языке. 

Сайты-распространители: 
xxxxs://ifud.ws/ - с 12 мая 2019
xxxxs://verified.sc/ - в тоже время
xxxxs://exploitinqx4sjro.onion/ - в тоже время
xxxxs://forum.zloy.bz/ - с 14 мая 2019
xxxx://darkmarket.la/ - с 14 мая 2019
 
 

Мы не смогли зайти на два сайта. Один из них хочет 50$ за регистрацию, а другой или настроен неправильно, или не хочет, чтобы я на него зашел. Разработчик сделал защиту от запуска на компьютерах пользователей из стран СНГ. Похвально, что ещё кто-то помнит про это СНГ, хотя оно давно лишь фикция. 

Текст на ifud.ws:
Buran Ransomware - гарантированная стабильная работа,гибкий функционал и постоянная онлайн-поддержка
Тема в разделе "Покупка/Продажа | Обмен", создана пользователем buransupport, 14 май 2019.
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи; Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия:
Обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Набор в партнерскую программу продолжается.
Индивидуальные условия и стабильный доход.
Контакты для связи:
buransupport@exploit.im
buransupport@xmpp.jp

Текст на darkmarket.la:
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи;
Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия: 
25% за дешифратор с каждой выплаты. Жесткого регламента нет, условия обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Контакты:
jabber:
buransupport@exploit.im
buransupport@xmpp.jp
Мы на других бордах:
https://verified.sc/showthread.php?p=1040666
https://exploitinqx4sjro.onion/topic/157000
https://forum.zloy.bz/showthread.php?t=155866
Последнее редактирование: 18.05.19

После покупки или иным способом Buran Ransomware уже может находиться на сайтах, распространяющих взломанные программы. Одним из таких сайтов является crackzsoft.com, одно посещение страниц которого для незащищенного компьютера может иметь плачевные последствия (XXS-атаки с применением JS, Flash Player и что-то ещё). По данным BleepingComputer, на таких сайтах стоит наготове набор эксплойтов RIG. 

Специально для тех, кто пользуется Free антивирусами! Они не остановят атаку с использованием уязвимости нулевого дня из набора эксплойтов! Вы и не замените, как они сработают и инфицируют ПК. Прочтите статью об эксплойтах от Лаборатории Касперского. 

После покупки и переделки покупателем может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Для определения IP компьютера использует сайты:

iplogger.ru
geoiptool.com

➤ Распространяется с помощью Rig набора эксплойтов (Rig Exploit Kit).

Завершает процессы: 
agntsvc.exe; agntsvc.exe; agntsvc.exe; agntsvc.exe; encsvc.exe; agntsvc.exe; isqlplussvc.exe; anvir.exe; anvir64.exe; ccleaner.exe; ccleaner64.exe; dbeng50.exe; dbsnmp.exe; encsvc.exe; far.exe; firefoxconfig.exe; infopath.exe; isqlplussvc.exe; msaccess.exe; msftesql.exe; mspub.exe; mydesktopqos.exe; mydesktopservice.exe; mysqld-nt.exe; mysqld-opt.exe; mysqld.exe; ncsvc.exe; ocautoupds.exe; ocomm.exe; ocssd.exe; oracle.exe; procexp.exe; regedit.exe; sqbcoreservice.exe; sqlagent.exe; sqlbrowser.exe; sqlserver.exe; sqlservr.exe; sqlwriter.exe; synctime.exe; taskkill.exe; tasklist.exe; tbirdconfig.exe; visio.exe; xfssvccon.exe; sql.exe; oracle.exe; apache.exe; tomcat.exe; tomcat6.exe; u8.exe; ufida.exe; backup.exe; kingdee.exe 


Особенности:
Используется файловый маркет BURAN, добавляемый в начало кода файла. 
Так это выглядит, если открыть зашифрованные файлы в инструментах анализа или в обычном Блокноте. 



Текст из кода:
BEWARE... THIS IS BURAN // MADE IN USSR

Перевод текста:
БОЙТЕСЬ... ЭТО БУРАН // СДЕЛАН В СССР

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кроме тех, что находятся в белых списках. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.buran, .cmd, .com, .cpl, .dll, .exe, .log, .msp, .msc, .pif, .scr, .sys

Белый список директорий: 
\Windows media player\
\Apple computer\safari\
\Windows photo viewer\
\Windows portable devices\
\Windows security\
\Embedded lockdown manager\
\Reference assemblies\
:\Windows.old\
:\Inetpub\logs\
:\$Recycle.bin\
:\$Windows.~bt\
\Application data\
\Google\chrome\
\Mozilla firefox\
\Opera software\
\Tor browser\
\Common files\
\Internet explorer\
\Windows defender\
\Windows mail\
\Windows nt\
\Windowspowershell\
\Windows journal\
\Windows sidebar\
\Package cache\
\Microsoft help\
:\Recycler
:\Windows\
C:\Windows\
:\Intel\
:\Nvidia\
\All users\
\Appdata\
\Boot\
\Google\
\Mozilla\
\Opera\
\Msbuild\
\Microsoft\

Белый список файлов:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
boot.ini
bootfont.bin
bootsect.bak
defender.exe
desktop.ini
iconcache.db
ntdetect.com
ntuser.dat.log
unlocker.exe
master.exe
master.dat
ntldr
ntuser.dat
ntuser.ini
temp.txt
thumbs.db
unlock.exe

Файлы, связанные с этим Ransomware:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
2.exe
2.1.exe
ctfmon.exe
1068A408.buran
68552A69.buran
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Microsoft\Windows\ctfmon.exe
%APPDATA%\Microsoft\Windows\ctfmon.exe
%TEMP%\1068A408.buran
%TEMP%\68552A69.buran

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Buran
HKEY_CURRENT_USER\Software\Buran\Knock
HKEY_CURRENT_USER\Software\Buran\Service
HKEY_CURRENT_USER\Software\Buran\Service\Machine ID
HKEY_CURRENT_USER\Software\Buran\Service\Public Key
HKEY_CURRENT_USER\Software\Buran\Stop
HKEY_CURRENT_USER\Software\AutoIt v3\AutoIt
HKEY_CURRENT_USER\Software\Borland\Delphi\Locales
HKEY_CURRENT_USER\Software\Borland\Locales

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery_server@protonmail.com, recovery1server@cock.li
Email продающего: buransupport@exploit.im, buransupport@xmpp.jp
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis 2.exe >>
Hybrid analysis 2.1.exe >>
𝚺  VirusTotal analysis 2.exe >>
𝚺  VirusTotal analysis 2.1.exe >>
🐞 Intezer analysis 2.exe >>
🐞 Intezer analysis 2.1.exe >>
ᕒ  ANY.RUN analysis 2.exe >>
ᕒ  ANY.RUN analysis 2.1.exe >>
ⴵ  VMRay analysis 2.exe >>
ⴵ  VMRay analysis 2.1.exe >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
другие варианты



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-4 июня 2019:
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: jacksteam2018@protonmail.com, notesteam2018@tutanota.com
➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email jacksteam2018@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email jacksteam2018@protonmail.com OR notesteam2018@tutanota.com
Your personal ID: 1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Обновление от 5-6 июня 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: polssh1@protonmail.com, polssh@protonmail.com 
Файлы EXE: ctfmon.exe, SpybtIndentify.exe
Результаты анализов: VT + AR + AR


➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email polssh1@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email polssh1@protonmail.com
               polssh@protonmail.com 
Your personal ID: 26F2E296-91BD-2D7F-DA91-14A202CD0XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Обновление от 10 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
Что нового:
! Шифрование рандомных участков больших файлов.
Теперь файлы шифруются с большей скоростью.
Окончательно сведена на нет вероятность частичного восстановления архивов, возможная при использовании других шифровальщиков.
! Асинхронный поиск по файловой системе.
Буран-II шифрует файлы по мере нахождения, "перепрыгивая" с носителя на носитель (диск / папку / сетевой путь), нанося наибольший ущерб за минимальное время работы.

Обновление от 17-19 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
* Мы не работаем по СНГ (установлен детект по локали + языку системы)
* Мы не работаем с технически неграмотными и далекими от темы
* Мы можем отказать в выдаче билда без объяснения причин
* Мы не берем оплату за билд и генерацию ключей
---
Наш арсенал пополнился PowerShell-скриптом. 
Теперь, помимо боевого exe, мы выдаем PowerShell-скрипт, содержащий загрузчик Бурана. Используемый в скрипте безфайловый метод запуска позволяет отработать софту из памяти с эффективностью и скоростью, сравнимой с обычным билдом, избегая детектов на рантайме.


Обновление от 26 июня 2019:
Топик на форуме >>
Расширение (шаблон): .-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Email: endereless@cock.li, happyless@airmail.cc 
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки:
All your files, documents, photos, databases and other important 
files are encrypted. 
You are not able to decrypt it by yourself! The only method 
of recovering files is to purchase an unique private key. 
Only we can give you this key and only we can recover your files. 
To be sure that we have the decryptor and it works you can send an 
email to endereless@cock.li and decrypt one file for free. But this 
file must'nt be of valuable! 
Do you really want to restore your files? 
If you are ready to buy unique private key send an email including you ID to happyless@airmail.cc 
Your personal ID: 1462F1C9-2XXX-BXXX-BXXX-46F88A1FCC7A 
Attention! 
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, 
it may cause permanent data loss. 
* Decryption of your files with the help of third parties may 
cause increased price (they add their fee to our) or you can 
become a victim of a scam. 

Обновление от 27 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
* Нас ни разу не дешифровали, аверами неоднократно производился подробный разбор и анализ софта, бесплатный дешифратор не был и не будет выпущен;
* Мы используем свой алгоритм обработки больших файлов, шифруются не первые килобайты данных (многие архивы после такого шифрования можно частично восстановить), не весь файл целиком (очень ресурсоемкая операция, занимает много времени), а случайно выбранные фрагменты, это дает преимущество в скорости и надежности;
* Наш софт работает на всей линейке Windows, начиная от Windows XP ...



Обновление от 29 июня 2019:
Пост на форуме >>
Расширение (шаблон): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Email: dcr@cumallover.me
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки:
ALL YOUR FILES HAVE BEEN ENCRYPTED, THERE IS NO WAY TO DECRYPT THEM BY YOURSELF.
IF YOU VALUE YOUR FILES AND WANT TO DECRYPT THEM YOU HAVE TO PAY 100$ IN BITCOINS.
No worry if you don't know what bitcoins are, they are an online currency that is not regulated by any government.
To get some bitcoins you can go to some of this websites:
1. CoinBase.com
In this website you can buy bitcoins using credit card.
2. LocalBitcoins.com
This a popular website where people contact each others to exchange bitcoins for money in paypal, cash and other payment systems.
To get a wallet for payment you need to contact us at dcr@cumallover.me and provide y  our personal ID: 5B581BFD-572C-E8D9-9635-4C28FAA9CE59
YOU HAVE 72 HOURS FROM NOW ON TO SEND THE PAYMENT OR YOU WILL LOSE ALL THE DATA!

Обновление от 29 июня 2019:
Пост в Твиттере >> 
Подробнее о версии >>
Записка: YOUR FILES ARE ENCRYPTED !!!.TXT
Email: surpriseN1@aol.com, surpriseN1@protonmail.com
➤ Содержание записки:
!!!ALL DATA ON THIS PC HAS BEEN ENCRYPTED !!!
                                          Your ID: <!--ID-->
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a 
secret server on the internet;
The server will destroy the key within 48h after encryption completed.
    To decrypt them send e-mail to this address: 
    surpriseN1@aol.com  or surpriseN1@protonmail.com
That you trusted us you can send 1 file NOT containing valuable information for decoding
Attention!
* Maybe you are busy looking for a way to recover your files, but do not waste your time, 
  nobody can recover your files without our decryption service.
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss.

Обновление от 4 июня 2019:
Пост в Твиттере >>
Расширение (шаблон): .-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .-20D3E156-A287-60BB-BBEE-4579C665442A
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: rizonlocker@airmail.cc, rizonlocker@firemail.cc 
Файл: \AppData\Local\Temp\PreCrack-Ableton.exe
Файл: \Temp\buran.exe
Файл: \Temp\9B85964F.buran
Файл: \Desktop\b.exe и другие
Результаты анализов: VT + VMR + AR / VT + VMR
➤ Содержание записки:
All your files, documents, photos, databases and other important files are encrypted. 
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. 
Only we can give you this key and only we can recover your files. 
To be sure we have the decryptor and it works you can send an email rizonlocker@airmail.cc or rizonlocker@firemail.cc and decrypt one file for free. But this file should be of not valuable! 
Do you really want to restore your files? 
Write to email rizonlocker@airmail.cc or rizonlocker@firemail.cc 
Your personal ID: 240ED6E0-5A46-4764-9910-904D3E83F605 
Attention! * Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss. 
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 26 июля 2019:
Пост в Твиттере >>
Пример расширения: .{3EC7AD33-C616-54FC-3819-FD033E71F165}
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

Email: lewismccown@yahoo.com, bullockcraig@aol.com 
Email: bavaria54@protonmail.com, nic.shulz@protonmail.com
Результаты анализов на файл: Edwin Dewitt - CV.doc  VT + VMR
Результаты анализов на файл:  LDR_2886.js  VT + VMR

Обновление от 13 сентября 2019:
Топик на форуме >>
Пример расширения: .[4D038CB6-45CB-303D-B3C5-710D3731F35B]
Email: epicday@cock.li, epicday@airmail.cc
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email epicday@cock.li OR epicday@airmail.cc and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email epicday@cock.li OR epicday@airmail.cc
Your personal ID: 4D038CB6-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Jamper / Buran)
 Write-up, Topic of Support, Topic of Support
 * 
 - видеобзор образца 2.exe
- видеобзор образца 2.1.exe
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton