EncoderCSL

EncoderCSL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: EncoderCSL. На файле написано: EncoderCSL.exe (Copyright © 2019).

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJ
McAfee -> Ransomware-FTD!24299F2C9376
Symantec -> Ransom.HiddenTear!g1


© Генеалогия: HiddenTear >> EncoderCSL

Изображение — логотип статьи (мини-копия экрана)

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ.txt или READ_IT.txt

Другим информатором жертвы выступает экран блокировки: 

Содержание записки о выкупе:
Your files has been safely encrypted
Please open READ_ ME file on your desktop for decryption
Don't try to decrypt files yourself! It can be damage your files forever!
User ID:  admin
Machine ID:  USER-PC

Перевод записки на русский язык:
Ваши файлы надежно зашифрованы
Откройте файл READ_ ME на рабочем столе для расшифровки
Не пробуйте сами расшифровать файлы! Это повредит ваши файлы!
User ID:  admin
Machine ID:  USER-PC

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EncoderCSL.exe
READ.txt или READ_IT.txt - текстовый файл записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Desktop\EncoderCSL.pdb
\Desktop\READ.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: suporthermes@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hydra (Hidra)

Hydra Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы заплатить за расшифровщик в # BTC и вернуть файлы. Оригинальное название: Hydra Ransomware. На файле написано: нет данных.

Обнаружения:
DrWeb -> нет образцов
BitDefender -> нет образцов

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на сердину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __________WHY FILES NOT WORK__________.txt

Содержание записки о выкупе:
Attention!
Your network has been compromised and all of your files has been encrytped by "Hydra Ransomware" team!
We used nextgen strong cryptography in order to encrypt your files.
The only way to restore your files is to buy decryptor!
* You must know the worst thing is happened now and you cannot hide our successful attack!
  Understand if payment is not made on time. All your company data will be permanently destroyed.
  Your backups has been fatal and it is just a waste of your precious time if going to try them!
* IF YOU UNDERSTAND THE SITUATION, FOLLOW THE RECOVERY INSTRUCTIONS BELOW
1. Copy your Network ID and send to our email.
   Network ID : DM5V6T5***
   Email      : crossroads2371@protonmail.ch
2. You will receive a amount and payment order.
3. We will send you decryptor with private key to recovery your files.
* You can ask for 1 free file decryption as proof of work in the first correspondence!
* Your time for save your files has limited to one week (from first impact) before we delete our temporary email address!
* Data manipulation cause permanent loss of files!

Перевод записки на русский язык:
Внимание!
Ваша сеть взломана, и все ваши файлы зашифрованы командой "Hydra Ransomware"!
Мы использовали сильную криптографию nextgen для шифрования ваших файлов.
Единственный способ восстановить ваши файлы - это купить расшифровщик!
* Вы должны знать, что сейчас случилось худшее, и вы не можете скрыть нашу успешную атаку!
  Поймите, если оплата не произведена вовремя. Все данные вашей компании будут навсегда уничтожены.
  Ваши бэкапы фатальны, и если вы попробуете их, это просто пустая трата вашего драгоценного времени!
* Если вы понимаете ситуацию, следуйте инструкциям по восстановлению ниже
1. Скопируйте свой ID сети и отправьте на наш email.
   ID сети: DM5V6T5 ***
   Email: crossroads2371@protonmail.ch
2. Вы получите сумму и платежное поручение.
3. Мы вышлем вам расшифровщик с закрытым ключом для восстановления ваших файлов.
* Вы можете запросить 1 бесплатную расшифровку файла как доказательство работы при первой переписке!
* Ваше время для сохранения ваших файлов ограничено одной неделей (от первого удара) до того, как мы удалим наш временный email-адрес!
* Манипулирование данными вызовет постоянную потерю файлов!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов:
MZ HIDRA - с буквой I, хотя в записке Hydra написана с буквой Y.

Файлы, связанные с этим Ransomware:
__________WHY FILES NOT WORK__________.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crossroads2371@protonmail.ch
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hydra)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Coom

Coom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: EmailExtractor, Super Email Validator, contract.scr.

Обнаружения:
DrWeb -> Trojan.Encoder.31056, Trojan.PWS.Siggen2.43833
BitDefender -> Trojan.GenericKD.42604037
Avira (no cloud) -> TR/NetWire.dtrpn
ESET-NOD32 -> A Variant Of MSIL/Packed.SmartAssembly.AY, A Variant Of MSIL/Kryptik.SXL
Kaspersky -> HEUR:Trojan.MSIL.NetWire.gen
Rising -> Trojan.NetWire!8.FAFE (CLOUD), Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNTBI20

© Генеалогия: EDA2 >> Coom

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
Your USERID is USER-PC
To unlock your files send 0.015 BTC (about $150 USD) to the following
bitcoin wallet address:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
Once you have sent the bitcoin, make note of your USERID above and the
transaction id of your bitcoin payment and go to http://192.30.89.67:11344/unlock.php
and you will be able to get your decryption key and the decryption tool.
If you are wondering how to purchase bitcoin easily, using paxful.com
with store bought gift cards is quick and easy, but there are many other ways
to buy bitcoin as well.

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваш USERID - USER-PC
Чтобы разблокировать файлы, отправьте 0.015 BTC (около $150 USD) на следующий адрес кошелька биткойн:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
После того, как вы отправили биткойн, запишите свой USERID, указанный выше, и идентификатор транзакции вашего биткойн-платежа и перейдите по адресу http://192.30.89.67:11344/unlock.php
и вы сможете получить свой ключ дешифрования и инструмент дешифрования.
Если вам интересно, как легко купить биткойн, использовать paxful.com с подарочными картами, купленными в магазине, можно легко и быстро, но есть и много других способов купить биткойн.

---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.

Примеры таких рабочих столов на разных системах (зашифрованные файлы и записки).

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - текстовый файл записки о выкупе
EmailExtractor.exe
Super Email Validator.exe
contract.scr
svhost.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg - загруженный с сайта 192.30.89.67:11344/x/background.jpg 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
%HOMEPATH%\ransom.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
HKEY_LOCAL_MACHINE\Software\eda2\eda2\2.1.0.0   %TEMP%\svhost.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://192.30.89.67:11344/x/createkeys.php
http://192.30.89.67:11344/x/background.jpg
http://192.30.89.67:11344/x/savekey.php

Email:
BTC: bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, S!Ri, Jirehlov
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

DeathHiddenTear

DeathHiddenTear Ransomware

Large&Small HT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA для ключа, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: DeathV2 (указано в коде). На файле написано: SSvchost и ssvchost.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31055
BitDefender -> Generic.Ransom.Small.A8C082EF
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
GData -> MSIL.Trojan-Ransom.Remind.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
McAfee -> Ransomware-FTD!B550E47DE0ED
Rising -> Ransom.Genasom!8.293 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0OBJ20
Symantec -> Ransom.HiddenTear!g1

© Генеалогия: HiddenTear >> DeathHiddenTear

Изображение — логотип статьи (согласно данным)

К зашифрованным файлам добавляются разные расширения: 
.encryptedL  - к файлам размером более 50 Мб (L - Large - "большой")
.encryptedS - к файлам размером менее 50 Мб (S - Small - "небольшой")

Таким образом, большинство файлов на компьютере после шифрования получают расширение .encryptedS

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt

Просмотр в Notepad++

Просмотр в Блокнот

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки, пишите на email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

---
Комментарий от Майкла Джиллеспи: "Набор чисел в записке о выкупе является ключом AES, зашифрованным RSA этой функцией. Это малораспространенный способ, обычно используется hex." 
 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов после шифрования. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt Instructions.txt - название записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\New_Latest_Version_2\DeathV2
***\Death\obj\Release\ssvchost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AllZData@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathHiddenTear)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nomikon

Nomikon Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в ~0.041-0.0.45 BTC / ~400$, чтобы вернуть файлы. По истечении срока выплаты сумма увеличивается в 2 раза (до ~800$). Оригинальное название: Nomikon 1.0 (указано в заголовке записки о выкупе и в логинах email вымогателей). На файле написано: ms.exe или что-то другое.

Обнаружения:
DrWeb -> нет образца вредоноса
BitDefender -> нет образца вредоноса

© Генеалогия: предыдущие варианты >> Nomikon 1.0

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: или .<random>

Примеры расширений: 
.cnmhr 
.jrmcu


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. По некоторым данным, ранние упоминания встречались с ноября 2019 года, но исполняемых образцов не было найдено. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.html

 

Содержание записки о выкупе:
Your computer has been infected
All your documents, photos, databases and other important files are encrypted
To decrypt your files you need to buy our special software - UmtxCnMh4r-Decryptor
You can do it right now. Follow the instruction below. But remember that you do not have much time

UmtxCnMh4r-Decryptor
You have EXPIRED TIME
*If you do not pay on time the price will be doubled
*Time ends on February 19, 01:37:43
Current price
0.04114785 BTC $400 USD
After time ends 0.08229571 BTC $800 USD
---
Instructions
How to decrypt files?
You will not be able to decrypt the files yourself. If you try, you will lose your files forever.
To decrypt your files you need to buy our special software -
UmtxCnMh4r-Decryptor.
*If you need guarantees, use trial decryption below.
How to buy UmtxCnMh4r-Decryptor?
1. Send us an email to: nomikonfirst@tuta.io, nomikonsecond@tuta.io
In subject line of your message write your personal
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Create a Bitcoin Wallet (we recommend Blockchain.info)
3. Buy the necessary amount of Bitcoins. Current price for buying is 0.08229571 BTC
4. Send 0.08229571 BTC to the address that you receive when
write to us
5. Wait for 3 confirmations
6. Download decryptor from the email message
*We guarantee that you can decrypt all your files quickly and safely.
---
Trial decryption
This file should be an encrypted image. Example
your-file-name.jpg.cnmhr
your-file-name.png.cnmhr
your-file-name.gif.cnmhr
Send us one image for free decryption
*Please note image size must be less than 5Mb.
---
Buy Bitcoin with Bank
Account or Bank Transfer
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Gemini Paymium Bity Safello Buy Bitcoin with Credit/Debit Card CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Buy Bitcoin with PayPal LocalBitcoins VirWox Paxful Buy Bitcoin with Cash or Cash Deposit LocalBitcoins BitQuick
---
Support
If you have any questions please write us to email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Our support team can solve any of your problems
---
FAQ
What happen?
Your files are encrypted and currently unavailable. By the way, it's possible to recover (restore), you need to follow our instructions. Otherwise, you can't return your data (NEVER).
When can I get my files back?
After payment, you will receive an email with decryptor software. It automatically decrypts all your files.
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. It's not in our interests.
If I don't have enough money right now, can I pay later?
You can pay later, but in 3 days the price will be doubled.
What if I try to decrypt my files with another solution?
All your data is encrypted with very serious and powerful algorithms (AES256 and RSA-2048). Those algorithms now in use in military intelligence NSA and CIA. No one can help you to restore your data without our special decryptor. Do not try to modify files or use your own private key in this case you will lose your files forever.
Can I recover my old files via Windows recovery point or other solution?
Unfortunately no, all backups and Windows shadow copies were removed. In addition, hard disk sectors have been overwritten several times, in this case even computer forensics will not be able to recover your files.
Can I decrypt my document with trial decryption (for free)?
No, you can decrypt only one image.

Current price btc 0.08229571

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ms.exe
DECRYPT.html - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nomikonfirst@tuta.io, nomikonsecond@tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. Но есть более раннее свидетельство активности этого вымогателя 14 ноября 2019 года.  Ссылка на сайт >>

Уже тогда это называлось Nomikon 1.0 Ransomware, поэтому описанный здесь вариант тот же самый по сути. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Nomikon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.