Nomikon Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в ~0.041-0.0.45 BTC / ~400$, чтобы вернуть файлы. По истечении срока выплаты сумма увеличивается в 2 раза (до ~800$). Оригинальное название: Nomikon 1.0 (указано в заголовке записки о выкупе и в логинах email вымогателей). На файле написано: ms.exe или что-то другое.
Обнаружения:
DrWeb -> нет образца вредоноса
BitDefender -> нет образца вредоноса
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: предыдущие варианты >> Nomikon 1.0
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: или .<random>
Примеры расширений:
.cnmhr
.jrmcu
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. По некоторым данным, ранние упоминания встречались с ноября 2019 года, но исполняемых образцов не было найдено. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: DECRYPT.html
Содержание записки о выкупе:
Your computer has been infected
All your documents, photos, databases and other important files are encrypted
To decrypt your files you need to buy our special software - UmtxCnMh4r-Decryptor
You can do it right now. Follow the instruction below. But remember that you do not have much time
UmtxCnMh4r-Decryptor
You have EXPIRED TIME
*If you do not pay on time the price will be doubled
*Time ends on February 19, 01:37:43
Current price
0.04114785 BTC $400 USD
After time ends 0.08229571 BTC $800 USD
---
Instructions
How to decrypt files?
You will not be able to decrypt the files yourself. If you try, you will lose your files forever.
To decrypt your files you need to buy our special software -
UmtxCnMh4r-Decryptor.
*If you need guarantees, use trial decryption below.
How to buy UmtxCnMh4r-Decryptor?
1. Send us an email to: nomikonfirst@tuta.io, nomikonsecond@tuta.io
In subject line of your message write your personal
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Create a Bitcoin Wallet (we recommend Blockchain.info)
3. Buy the necessary amount of Bitcoins. Current price for buying is 0.08229571 BTC
4. Send 0.08229571 BTC to the address that you receive when
write to us
5. Wait for 3 confirmations
6. Download decryptor from the email message
*We guarantee that you can decrypt all your files quickly and safely.
---
Trial decryption
This file should be an encrypted image. Example
your-file-name.jpg.cnmhr
your-file-name.png.cnmhr
your-file-name.gif.cnmhr
Send us one image for free decryption
*Please note image size must be less than 5Mb.
---
Buy Bitcoin with Bank
Account or Bank Transfer
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Gemini Paymium Bity Safello Buy Bitcoin with Credit/Debit Card CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Buy Bitcoin with PayPal LocalBitcoins VirWox Paxful Buy Bitcoin with Cash or Cash Deposit LocalBitcoins BitQuick
---
Support
If you have any questions please write us to email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Our support team can solve any of your problems
---
FAQ
What happen?
Your files are encrypted and currently unavailable. By the way, it's possible to recover (restore), you need to follow our instructions. Otherwise, you can't return your data (NEVER).
When can I get my files back?
After payment, you will receive an email with decryptor software. It automatically decrypts all your files.
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. It's not in our interests.
If I don't have enough money right now, can I pay later?
You can pay later, but in 3 days the price will be doubled.
What if I try to decrypt my files with another solution?
All your data is encrypted with very serious and powerful algorithms (AES256 and RSA-2048). Those algorithms now in use in military intelligence NSA and CIA. No one can help you to restore your data without our special decryptor. Do not try to modify files or use your own private key in this case you will lose your files forever.
Can I recover my old files via Windows recovery point or other solution?
Unfortunately no, all backups and Windows shadow copies were removed. In addition, hard disk sectors have been overwritten several times, in this case even computer forensics will not be able to recover your files.
Can I decrypt my document with trial decryption (for free)?
No, you can decrypt only one image.
Current price btc 0.08229571
Перевод записки на русский язык:
Ваш компьютер инфицирован
Все ваши документы, фотографии, базы данных и другие важные файлы зашифрованы
Для расшифровки ваших файлов вам нужно купить нашу специальную программу - UmtxCnMh4r-Decryptor
Вы можете сделать это прямо сейчас. Следуйте инструкциям ниже. Но помните, что у вас не так много времени
UmtxCnMh4r-Decryptor
У вас истекло время
* Если вы не заплатите вовремя, цена удвоится
* Время заканчивается 19 февраля, 01:37:43
Текущая цена
0.04114785 BTC $400 USD
По истечении времени 0.08229571 BTC $800 USD
---
Инструкции
Как расшифровать файлы?
Вы не сможете сами расшифровать файлы. Если вы попытаетесь, вы потеряете ваши файлы навсегда.
Для расшифровки ваших файлов вам нужно купить нашу специальную программу -
UmtxCnMh4r-Decryptor.
* Если вам нужны гарантии, используйте пробную расшифровку ниже.
Как купить UmtxCnMh4r-Decryptor?
1. Отправьте нам email по адресу: nomikonfirst@tuta.io, nomikonsecond@tuta.io
В строке темы вашего сообщения напишите свой личный
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)
3. Купите нужное количество биткойнов. Текущая цена для покупки 0.08229571 BTC
4. Отправьте 0.08229571 BTC на адрес, который вы получите, когда
напишите нам
5. Подождите 3 подтверждения
6. Скачать расшифровщик из сообщения email
* Мы гарантируем, что вы сможете расшифровать все ваши файлы быстро и безопасно.
---
Пробная расшифровка
Этот файл должен быть зашифрованным изображением. пример
ваш-файл-name.jpg.cnmhr
ваш-файл-name.png.cnmhr
ваш-файл-name.gif.cnmhr
Отправьте нам одно изображение для бесплатной расшифровки
* Обратите внимание, что размер изображения должен быть менее 5 МБ.
---
Купить биткойн в банке
Счет или банковский перевод
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Джемини Paymium Bity Safello Купить Биткойн с помощью кредитной / дебетовой карты CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Купить биткойны с PayPal МестныеБиткойны
---
Служба поддержки
Если у вас есть какие-либо вопросы, пожалуйста, напишите нам на email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Наша служба поддержки может решить любые ваши проблемы
---
Вопросы-Ответы
Что происходит?
Ваши файлы зашифрованы и в настоящее время недоступны. Кстати, можно восстановить (вернуть), нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
Когда я смогу вернуть свои файлы?
После оплаты вы получите письмо с программой для расшифровки. Она автоматически расшифровывает все ваши файлы.
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах.
Если у меня сейчас недостаточно денег, могу ли я заплатить позже?
Вы можете оплатить позже, но через 3 дня цена будет удвоена.
Что если я попытаюсь расшифровать мои файлы другим решением?
Все ваши данные зашифрованы с помощью очень серьезных и мощных алгоритмов (AES256 и RSA-2048). Эти алгоритмы сейчас используются в военной разведке АНБ и ЦРУ. Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика. Не пытайтесь изменить файлы или использовать свой собственный закрытый ключ, в этом случае вы потеряете ваши файлы навсегда.
Могу ли я восстановить свои старые файлы через точку восстановления Windows или другое решение?
К сожалению, нет, все резервные копии и теневые копии Windows были удалены. Кроме того, сектора жесткого диска были перезаписаны несколько раз, в этом случае даже компьютерная криминалистика не сможет восстановить ваши файлы.
Могу ли я расшифровать свой документ пробной расшифровкой (бесплатно)?
Нет, вы можете расшифровать только одно изображение.
Текущая цена BTC 0.082295
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ms.exe
DECRYPT.html - название текстового файла
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nomikonfirst@tuta.io, nomikonsecond@tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта. Но есть более раннее свидетельство активности этого вымогателя 14 ноября 2019 года. Ссылка на сайт >>
Уже тогда это называлось Nomikon 1.0 Ransomware, поэтому описанный здесь вариант тот же самый по сути.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as Nomikon) Write-up, Topic of Support *
Thanks: Michael Gillespie, Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
