Если вы не видите здесь изображений, то используйте VPN.

суббота, 31 августа 2019 г.

HildaCrypt

HildaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HILDACRYPT v1.0. На файле написано: Encryptor.exe. На основе платформы .Net. 

Обнаружения:
DrWeb -> Trojan.Encoder.29401
BitDefender -> Trojan.GenericKD.41676054
ALYac -> Trojan.Ransom.HILDA
Avira (no cloud) -> TR/ATRAPS.Gen
Symantec -> ML.Attribute.HighConfidence
Malwarebytes -> Ransom.HildaCrypt

© Генеалогия: Viagra, BWall, HildaCrypt > HildaCrypt-Stahp




К зашифрованным файлам добавляется расширение: .HILDA!


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.TXT

Содержание записки о выкупе:
---+ HILDACRYPT v1.0 +---
All the files on this computer have been encrypted with a RSA-4096 + AES-256
cryptographic combination. These algorithims are used by the NSA and other
top tier organisations.
Backups were encrypted, and shadow copies were removed. So F8 or any other
methods may damage encrypted data and make it unrecoverable.
We exclusively have decryption software for your situation.
More than a year ago, world experts have recognized the impossibility of
decrypting by any means without the original decryptor.
NO decryption software is available to the public.
Antivirus companies, researchers, IT specialists, and no one else can help
you recover your data.
DO NOT RESET OR SHUTDOWN - file may be damaged.
DO NOT DELETE readme files.
DO NOT REMOVE OR RENAME the encrypted files.
This may lead to the impossibility of your files being recovered.
To confirm our honest intentions, send us 2 different files and you well get
them decrypted. They must not contain any sensitive information and must not
be archived.
To get info (decrypt your files) contact us at:
hildaseriesnetflix125@tutanota.com
or
hildaseriesnetflix125@horsefucker.org
You well receive a BTC address for payment in the reply letter.
HILDACRYPT
No loli is safe :) -- https://www.youtube.com/watch?v=XCojP2Ubuto

Перевод записки на русский язык:
--- + HILDACRYPT v1.0 + ---
Все файлы на этом компьютере были зашифрованы с помощью криптографической комбинации RSA-4096 + AES-256. Эти алгоритмы используются АНБ и другими организациями высшего уровня.
Резервные копии были зашифрованы, а теневые копии были удалены. Таким образом, F8 или любые другие методы могут повредить зашифрованные данные и сделать их невосстановимыми.
У нас есть эксклюзивная программа для вашей ситуации.
Более года назад мировые эксперты признали невозможность расшифровки любым способом без первоначального расшифровщика.
Никакие программы для расшифровки недоступны для общественности.
Антивирусные компании, исследователи, ИТ-специалисты и никто другой не может помочь вам восстановить ваши данные.
НЕ ПЕРЕЗАГРУЖАЙТЕ И НЕ ВЫКЛЮЧАЙТЕ - файл может быть поврежден.
НЕ УДАЛЯЙТЕ файлы readme.
НЕ УДАЛЯЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ зашифрованные файлы.
Это может привести к невозможности восстановления ваших файлов.
Чтобы подтвердить наши честные намерения, отправьте нам 2 разных файла, и вы получите расшифровку. Они не должны содержать конфиденциальную информацию и не должны быть архивами.
Чтобы получить информацию (расшифровать ваши файлы), свяжитесь с нами по адресу:
hildaseriesnetflix125@tutanota.com
или же
hildaseriesnetflix125@horsefucker.org
Вы получите адрес BTC для оплаты в ответном письме.
HILDACRYPT
Лоли не безопасна :) - https://www.youtube.com/watch?v=XCojP2Ubuto



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ HildaCrypt останавливает службы Защитника Windows (WinDefend и MBAMService) с помощью следующих команд:
C:\Users\User\Desktop\Malware.exe
"net.exe" /stop Win Defend /y
C:\Windows\system32\net1 /stop Win Defend /y
"net.exe" /stop MBAMService /y
C:\Windows\system32\net1 /stop MBAMService /y
"vssadmin.exe" Delete Shadows /All /Quiet

➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
important company update september 2019.pdf.exe
Malware.exe
Encryptor.exe
READ_IT.TXT
HildaloliLOVESMHTandVK_Intel.exe
 nflxcoreupdate_WOW64.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://www.youtube.com/watch?v=XCojP2Ubuto
Email: hildaseriesnetflix125@tutanota.com, hildaseriesnetflix125@horsefucker.org
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Список шифровальщиков от одного разработчика: 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Версия: 1.1
Расширение: .HCY!

Обновление от 3 октября 2019: 
Пост в Твиттере >>
Версия: 1.2
Расширение: .liluzivert 
Записка: YOUR_FILES_ARE_ENCRYPTED.TXT
Email: hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
Результаты анализов: VT  + VMR

Обновление от 4-5 октября 2019: 
Версия: HildaCrypt-Stahp (финальная):
Расширение: .mike
Записка: _readme.txt
Была заимствована записка о выкупе из STOP-Ransomware со всеми контактами. 
См. отдельную статью "Mike NotSTOP!" или HildaCrypt-Stahp Ransomware >>
См. статью на BleepingComputer об этом и про выпуск дешифровщика >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно расшифровать!
Скачайте дешифровщик Emsisoft Decryptor for HildaCrypt >>
*
*
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HildaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 28 августа 2019 г.

Good, Goodmen

Good Ransomware
Goodmen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: RICK.EXE.

Обнаружения:
DrWeb -> Trojan.Encoder.29460, Trojan.Encoder.29662
BitDefender -> Trojan.GenericKD.32335732, Gen:Heur.Ransom.Imps.3
Emsisoft -> Trojan.Ransom.Good (A)
Avira (no cloud) -> TR/Crypt.ZPACK.Gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NWF, A Variant Of Win32/Filecoder.NXQ
TrendMicro -> Ransom.Win32.SANSPITIE.THJOAAI


© Генеалогия: MegaCortex > Good (Goodmen), ABCDPhobosImposter


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .good


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Restore-My-Files.txt

Содержание записки о выкупе:
All your files are encrypted
To return to normal, please contact us by this e-mail: goodmen@countermail.com
Be sure to duplicate your message on the e-mail: datareesstore@tutanota.com
Interesting Facts :
• 1. Over time, the cost increases, do not waste your time
• 2. Only we can help you, for sure, no one else.
• 3. BE CAREFUL !!!If you still try to find other solutions to the problem, make a backup copy of the files you want to experiment on, and play with them.Otherwise, they can be permanently damaged
• 4. Any services that offer you help or just take money from you and disappear, or they will be intermediaries between us, with inflated value.Since the antidote is only among the creators of the virus
Set topic of your message to xvhltavd

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Чтобы вернуться к норме, свяжитесь с нами по этому email-адресу: goodmen@countermail.com
Не забудьте продублировать ваше сообщение на e-mail: datareesstore@tutanota.com
Интересные факты :
• 1. Со временем стоимость увеличивается, не теряйте времени
• 2. Только мы можем вам помочь, точно, больше никто.
• 3. БУДЬТЕ ОСТОРОЖНЫ !!! Если вы все попытаетесь найти другие решения проблемы, сделайте резервную копию файлов, с которыми вы хотите поэкспериментировать, и поиграйте с ними. В противном случае они могут быть навсегда повреждены.
• 4. Любые сервисы, которые предлагают вам помощь, либо просто отнимают у вас деньги и исчезают, либо будут посредниками между нами, с завышенной стоимостью. Так как противоядие существует только у создателей вируса
Задайте тему вашего сообщения xvhltavd



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Restore-My-Files.txt
RICK.EXE
<random>.exe - случайное название вредоносного файла
BFE.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\BFE.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: goodmen@countermail.com, datareesstore@tutanota.com 
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 октября 2019:
Отдельная статья PhobosImposter Ransomware >>
Обнаружение: Trojan.Encoder.29662
Расширение: .phobos
Записка: Restore-My-Files.txt
Мьютекс: XO1XADpO01

Обновление от 12 ноября 2019:
Пост в Твиттере >>
Топик на форуме >>
Пост на форуме >>
Расширение: .ABCDEF или другое
Email: goodmen@countermail.com, goodmen@cock.li
Файл: rick69.exe
Записка: ===HOW TO RECOVER ENCRYPTED FILES===.TXT
➤ Содержание записки: 
All your important files are encrypted!
There is  only one way to get your files back: 
1. Contact with us
2. Send us 1 any encrypted your file and your personal id
3. We will decrypt 1 file for test, its guarantee what we can decrypt your files
4. Pay
5. We send for you decryptor software
We accept Bitcoin
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased  price (they add their fee to our)
Contact information:                             goodmen@countermail.com
Be sure to duplicate your message on the e-mail: goodmen@cock.li
Your personal id : 6820C0AE-D064-E7AF-3A72-A563C03*****


Обновление от 30 ноября 2019:
Пост в Твиттере >>
Расширение: .abcd
Записка: Restore-My-Files.txt
Email: goodmen@countermail.com, goodmen@cock.li
Файл: Ricks72.exe
Мьютекс: XO1XADpO01
Результаты анализов: VT






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Good)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, Leo
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 24 августа 2019 г.

Estemani

Estemani Ransomware

Mockba Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей и компаний с помощью RSA-2048 + Salsa20, а затем требует выкуп в 0.75 BTC или больше, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.29487, Trojan.Encoder.29887
BitDefender -> Generic.Ransom.Estemani.A095E571, Trojan.GenericKD.41854081
ESET-NOD32 -> Win32/Filecoder.Estemani.A, A Variant Of Generik.GDGLCGS
Malwarebytes -> Ransom.Estemani
Kaspersky -> Trojan.Win32.DelShad.aqw, Trojan-Ransom.Win32.Encoder.fuw
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: Turkish FileEncryptor ? > Estemani
Изображение — только логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 
Смотрите подробности в разделе "Технические детали". 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_DECRYPT_FILES.txt

Содержание записки о выкупе:
Greetings,
We are pleased to announce successful encryption of your machine.
All the hosts in your network have been encrypted with FUD and powerful encryption algorithm(s) - RSA-2048 + Salsa20.
Any attempt to decrypt data by yourself is futile.
Read more:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
The cost for decryption begins from 0.75 Bitcoins (BTC) and depends on your business size.
Email address: estemaniii@airmail.cc
HOST ID: XXCLO***
To avail decryption software and service send details about unique HOST ID and the contact email address and Follow the instructions for hassle free decryption process.
Note: The Host ID and Email addresses are unique and private. Any leak of information will result in direct ban to our services.
We won't be responding to any communications about free decryption. We follow simple business policy - No Money! No Decryption.

Перевод записки на русский язык:
Привет,
Мы рады объявить об успешном шифровании вашей машины.
Все хосты в вашей сети были зашифрованы с помощью FUD и мощного алгоритма(ов) шифрования - RSA-2048 + Salsa20.
Любая попытка расшифровать данные самостоятельно бесполезна.
Прочитать больше:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
Стоимость расшифровки начинается с 0.75 биткойнов (BTC) и зависит от размера вашего бизнеса.
Адрес email: estemaniii@airmail.cc
Хост ID: XXCLO***
Чтобы воспользоваться программным обеспечением и сервисом дешифрования, отправьте информацию об уникальном HOST ID и контактном адресе email и следуйте инструкциям для беспроблемного процесса дешифрования.
Примечание. HOST ID и email  являются уникальными и конфиденциальными. Любая утечка информации приведет к прямому бану наших услуг.
Мы не будем отвечать на любые сообщения о бесплатной расшифровке. Мы следуем простой деловой политике - Нет денег! Нет расшифровки.



Технические детали

Согласно Intezer-анализу может быть связан с утекшими в Сеть инструментами кибергруппы APT34 (они же Oilrig и HelixKitten), которым могли воспользоваться другие киберпреступники. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Подробности о зашифрованных файлах: 
У зашифрованных файлов название не меняется, но к каждому зашифрованному файлу добавляется другой файл с таким же именем и суффиксом .manifest.xml

Пример:
Оригинальный файл = exp_ORCL_FULL_hoy.log
Дополнительный = exp_ORCL_FULL_hoy.log.manifest.xml

➤ Удаляет теневые копии файлов. 

 Читает файлы, в которых хранятся пароли сторонних приложений.

Содержимое дополнительного файла:
<Manifest>
<key>5pAZ3vdcNV8TvP9Refh4whseBcv8cQEyTxmUHncSRSFtCUo25RoL7cHc4pKRmX7M5pqpHnhLqBEMQmxQYPFxh26e3Tyu3JDJzphWwJdi1n1e6mk5N7gYwXjJmwKtUYors2wFgP7t18pSta17bmExHsNd8BasHL9cW1pnR2UcakxHV1ERBaLCnuQyDAv75oSCRVDrUL7mJVBNYRGxoQ3ez2bXDCqK6HKifUZ9RYzW1hCrWvmsiFyxjaJPnkAD86fjACyUpy6WnUppbvwXF7NF7yQe9wiTMCjm7nr4kCMp4J2Jw1amwSEpM1oaqoKrxVtEX6mjtFDE3WibADtgQwmdFiHfY9xadF</key>
<filename>exp_ORCL_FULL_hoy.log</filename>
<filesize>14641</filesize>
</Manifest>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
sam.exe
HOW_DECRYPT_FILES.txt
%name%.manifest.xml - местонахождение ключа
<random>.exe - случайное название вредоносного файла
00000000.eky
00000000.pky
TempWmicBatchFile.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: estemaniii@airmail.cc
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Estemani Ransomware - август-октябрь 2019 - без расширения
Mockba Ransomware - октябрь 2019 - расширение .mockba




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 сентября 2019:
Расширение не добавляется. 
Записка: @_READ_TO_RECOVER_FILES_@.txt
Email: X280@protonmail.com
Сумма выкупа: 1.5 BTC
Результаты анализов: HA + VT + IA + AR + VMR / VT + VT
➤ Содержание записки: 
Greetings,
We are pleased to announce successful encryption of your machine.
All the hosts in your network have been encrypted with FUD and powerful encryption algorithm(s).
Any attempt to decrypt data by yourself is futile.
To decrypt your data easy and fast, you need to pay us in Bitcoin.
The cost for decryption is 1.5 Bitcoin (BTC) for all systems.
Even do not email us if you not have money.
Email Adress: X280@protonmail.com
HOST ID: 64efc603
LOCK ID:
HaoFgESMFbnrc3a***  [всего 2976 знаков]
To avail decryption software and service send details about unique HOST ID, LOCK ID and the contact email address and Follow the instructions for hassle free decryption process.
Please write us with your business email, we always keep your information private.
Note: The Host ID and Email addresses are unique and private. Any leak of information will result in direct ban to our services.
We won't be responding to any communications about free decryption. We follow simple business policy - No Money! No Decryption.
Also our email address not available for ever and can be blocked, this mean you could lost communications with us.


Обновление от 15 октября 2019:
Топик на форуме >>
Записка: @_READ_TO_RECOVER_FILES_@.txt
Email: zxqwopnm@tutanota.com
➤ Содержание записки: 
Greetings,
We are pleased to announce successful encryption of your machine.
All the hosts in your network have been encrypted with FUD and powerful encryption algorithm(s).
Any attempt to decrypt data by yourself is futile.
To decrypt your data easy and fast, you need to pay us in Bitcoin.
Email Adress: zxqwopnm@tutanota.com
HOST ID: 1f567*** [всего 8 знаков]
LOCK ID: 
KUSn4wLzg9yA2*** [всего 2976 знаков]
To avail decryption software and service send details about unique HOST ID, LOCK ID and the contact email address and Follow the instructions for hassle free decryption process.
Please write us with your business email, we always keep your information private.
Note: The Host ID and Email addresses are unique and private. Any leak of information will result in direct ban to our services.
We won't be responding to any communications about free decryption. We follow simple business policy - No Money! No Decryption.
Also our email address not available for ever and can be blocked, this mean you could lost communications with us.


Обновление от 17 октября 2019:
Пост в Твиттере >>
Расширение: - 
Записка: # HOW TO RECOVER YOUR DATA #.txt
Email: decrypt.russ@protonmail.com
➤ Содержание записки: 
Greetings,
We are pleased to announce successful encryption of your machines.
All the hosts in your network have been encrypted with powerful encryption algorithms. 
The RSA-2048 used in encryption along with the Salsa20.
You can read more here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
These cryptographies are indestructible.
Any attempt to decrypt data by yourself is futile.
To decrypt your data easy and fast, you need to pay us in Bitcoin.
Email Adress: decrypt.russ@protonmail.com
LOCK ID:
249SyWe4PDcn7F***  [всего 2982 знака]
To avail decryption software and service send details about unique LOCK ID and the contact email address,
and follow the instructions for hassle free decryption process.
Your time to make a payment is 4 days after first time of read this.
*** Please write us with your business email, we always keep your information private ***
Note:
The Host ID and Email addresses are unique and private. Any leak of information will result in direct ban to our services.
We won't be responding to any communications about free decryption.
We follow simple business policy - No Money! No Decryption.
Also our email address not available for ever and can be blocked, this mean you could lost communications with us.

Обновление от 23 октября 2019:
Топик на форуме >>
Пост в Твиттере >>
Мой пост в Твиттере >>
Расширение: .mockba
Записка: # HOW TO RECOVER YOUR DATA #.txt
Сумма выкупа: 1 BTC или больше.
Email: petersburgrecover@protonmail.com
Другие файлы: p.key, e.key
Результаты анализов: HA + VT + IA + AR 
➤ Содержание записки: 
All your files has been encrypted securely. Send your ID to our email for decryption information.
Email: petersburgrecover@protonmail.com
ID:
xek4B3yXowmj3*** [всего 2981 знак]





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Estemani)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), quietman7, adolfo-ve
 Michael Gillespie
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *