WannaRen, WannaMine

WannaRen Ransomware

Aliases: WannaMine

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Языки программирования: C, C++ и другие. Разработчик: "Hidden Shadow". 

Обнаружения:
DrWeb -> Trojan.Encoder.31521, Trojan.Inject3.38143
BitDefender -> Trojan.GenericKD.33613306, Trojan.GenericKD.33625530
ESET-NOD32 -> A Variant Of Win32/Packed.VMProtect.QL, Win32/Injector.BBYK
Malwarebytes -> Trojan.MalPack.VMP
Rising -> Ransom.WannaRen!1.C49F (CLOUD), Trojan.Win32.Generic.1A *
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.WANNAREN.A, Ransom.Win32.WANNAREN.B
---

© Генеалогия: XiaoBa + ??? >> WannaRen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .WannaRen


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта -начало апреля 2020 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе:
我的電腦出了什麽問題？
您的壹些重要文件被我加密保存了。
照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等，幾乎所有類型的文件都被加密了，因此不能正常打開。
這和壹般文件損壞有本質上的區別。
您大可在網上找找恢復文件的方法，我敢保證，沒有我們的解密服務，就算老天爺來了也不能恢復這些文檔。
有沒有恢復這些文檔的方法？
當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保，能夠提供安全有效的恢復服務。
但這是收費的，也不能無限期的推遲。
但想要恢復全部文檔，需要付款點費用。
是否隨時都可以固定金額付款，就會恢復的嗎，當然不是，推遲付款時間越長對妳不利。
最好3天之內付款費用，過了三天費用就會翻倍。
還有，壹個禮拜之內未付款，將會永遠恢復不了。
我們只會接受比特幣。首先，您需要支付解密服務費。
請發送0.05個的比特幣到該比特幣地址：1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
發送以後，請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址WannaRenemal@goat.si 。
我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後，在本軟件上輸入密碼，就可以解密所有文件！
聯系方式：WannaRenemal@goat.si
我強烈建議，為了避免不必要的麻煩，恢復工作結束之前，請不要關閉或者刪除該軟件，並且暫停殺毒軟件。 
不管由於什麽原因，萬壹該軟件被刪除了，
***

Перевод текста на русский язык:
Что не так с моим компьютером?
Некоторые из ваших важных документов зашифрованы и сохранены мной.
Фото, изображения, документы, архивы, аудио, видео файлы, exe-файлы и т. д., почти все типы файлов зашифрованы, поэтому их нельзя открыть как обычно.
Это существенно отличается от обычного повреждения файлов.
Вы можете найти способ восстановить файлы онлайн. Я гарантирую, что без нашего сервиса дешифровки, даже с Божьей помощью, эти файлы не могут быть восстановлены.
Есть ли способ восстановить эти документы?
Конечно, есть способ восстановления. Их можно восстановить только через наш сервис дешифровки. Я лично гарантирую, что могу предоставить безопасные и эффективные услуги по восстановлению.
Тем не менее, это платно и не может быть отложено на какой-то срок.
Но если вы хотите восстановить все документы, вам нужно заплатить.
Можно в любое время внести фиксированную плату, но не в ваших интересах откладывать платеж.
Лучше всего оплатить в течение 3 дней, а через три дня плата удвоится.
Кроме того, если оплата не будет сделана в течение недели, файлы никогда не будут восстановлены.
Мы принимаем только биткойны. В первую очередь вам надо оплатить услугу дешифровки.
Пожалуйста, отправьте 0.05 BTC на этот биткойн-адрес: 1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
После отправки, скопируйте в эту программу ключ и время, когда вы заплатили нам Bitcoin и отправьте на наш email WannaRenemal@goat.si.
После того как мы получим биткойны, мы отправим ваш пароль для расшифровки на ваш email. После того, как вы получите пароль, введите его в эту программу, чтобы расшифровать все файлы!
Контакт: WannaRenemal@goat.si
Я рекомендую во избежание ненужных проблем не закрывать и не удалять программу и не прерывать работу антивируса до окончания работ по восстановлению.
По какой-либо причине, в случае удаления программы, 
***

Есть также версия с текстовой запиской о выкупе. Там текст на китайском и английском языках. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется уязвимость EternalBlue и Windows PowerShell для осуществления атаки. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@WannaRen@.exe
@Wanna.exe
22640-1de73f49db23cf5cc6e06f47767f7fda.exe
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\@Wanna.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы: WannaRenL

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: WannaReneval@goat.si
BTC: 1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT (injector) >
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте WannaRen decrypter по ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet + Tw + Tw + myTweet
 ID Ransomware (ID as WannaRen)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 petrovic082, GrujaRS, Michael Gillespie, Jirehlov 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BB

BB Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует прислать биткоины на BTC-адрес, чтобы вернуть файлы. Оригинальное название: BB ransomware. На самом деле файлы не зашифрованы и достаточно убрать добавленное расширение, чтобы вернуть им прежнее состояние. 

Обнаружения:
DrWeb -> Trojan.EncoderNET.12
BitDefender -> Trojan.GenericKD.33583211
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YQ
Malwarebytes -> Ransom.BBRansomware
Microsoft -> Ransom:MSIL/FileCoder.BB!MSR
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Crypren.Syru
TrendMicro -> Ransom.MSIL.BB.A
---

© Генеалогия: фейковые вымогатели >> BB Ransomware > CobraLocker > CobraLocker NextGen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encryptedbyBB


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:
Hello! I'm a BB, and Im encrypt your files
Please give me a BTC To address:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
And I send you decrypt code
---
If you have a special decrypt code, please select Path and decrypt file
[Get me a decrypt code (check payment)]
Path [   ]
[Decrypt file]

Перевод записки на русский язык:
Привет! Я BB, и я зашифровал ваши файлы
Пожалуйста, дайте мне BTC на адрес:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
И я пришлю вам код расшифровки
---
Если у вас есть спецкод для расшифровки, выберите Path и Decrypt file.
[Дайте код расшифровки (проверка платежа)]
Путь [   ]
[Расшифровать файл]

Кроме этого BB показывает несколько сообщений с текстом. Скриншот с кодом это показывает.  

Одно из таких сообщений: 
Success Decrypt. Please click file with right button on mouse, and click change name. Delete .encryptedbyEB.

Перевод на русский: 
Успешный декрипт. Кликните файл правой кнопкой мыши и выберите "изменить имя". Удалите .encryptedbyEB.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BB ransomware.exe
BB ransomware.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\FD1HVy\Desktop\BB ransomware.exe
C:\Users\Remik Administrator\source\repos\BB ransomware\BB ransomware\obj\Debug\BB ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - адрес известен в WannaCry: NSA Exploit Edition (2017 г.) 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BB Ransomware

CobraLocker Ransomware

CobraLocker NextGen Ransomware

CobraLocker CryptoToys

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Боле еновые варианты см. в отдельной статье CobraLocker Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BB Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GoGoogle, BossiTosi

GoGoogle Ransomware

Aliases: BossiTosi, Trix, Xraw

GoGoogle NextGen 

GoGoogle 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей и сайтов с помощью XOR, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: bild.exe. Написан на языке Go. Другая версия, по сообщениям BitDefender, использует XOR для файлов размером более 1 Мб и RSA-1024 для файлов меньшего размера.

Обнаружения:
DrWeb -> Trojan.MulDrop11.51979, Trojan.MulDrop11.52047, Trojan.Encoder.31479, Trojan.Encoder.31607
BitDefender -> Trojan.GenericKD.42890724, Trojan.GenericKD.33568716
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/Filecoder.OBK
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic!8.C3 (CLOUD)
Symantec -> Downloader
TrendMicro -> Trojan.Win32.MALREP.THCBGBO
---

© Генеалогия: ??? >> GoGoogle (BossiTosi)

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение по шаблону: _ID_<id>_Bossi_tosi@protonmail.com.google

Пример такого расширения: 
_ID_1608263421_bossi_tosi@protonmail.com.google


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: FileRecovery.txt

Содержание записки о выкупе:
Hello, 
your files have been encrypted! To return the files, message us at Bossi_tosi@protonmail.com or Bossi_tosi@protonmail.com
Please type us your ID: XXXXXXXXXX
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.

Перевод записки на русский язык:
Привет,
Ваши файлы зашифрованы! Чтобы вернуть файлы, пишите нам на Bossi_tosi@protonmail.com или Bossi_tosi@protonmail.com
Пожалуйста, введите нам свой ID: XXXXXXXXXX
Вы можете отправить нам любые два зашифрованных файла, и мы расшифруем их в доказательство нашей честности.
Внимание!!! Не пытайтесь вернуть файлы сами, вы их повредите, и восстановление с нашим ключом будет невозможным.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
bild.exe
FileRecovery.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Bossi_tosi@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 апреля 2020 или раньше: 
Расширение: .google
Составное расширение (пример): _ID_318444525_maill_helpme@protonmail.com.google
Email: maill_helpme@protonmail.com

➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at maill_helpme@protonmail.com or maill_helpme@protonmail.com
Please type us your ID: 318444525
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.


Обновление от 2 апреля 2020:
Сообщение >>
Расширение: .google
Составное расширение (пример): _ID_2345678901_H_doss_help@qq.com.google
Email: doss_help@qq.com.google
Файл: bild.exe
Результаты анализов: VT + HA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31419
BitDefender -> Gen:Variant.Ulise.103459
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAT
Malwarebytes -> Ransom.stadyOne.GO
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R011C0WD320

Обновление от 5 апреля 2020:
Расширение: .google
Составное расширение (пример): _ID_3300537927_H_newneo1312@protonmail.com.google
Записка: FileRecovery.txt
Email: newneo1312@protonmail.com
Файл: bild.exe
Результаты анализов: VT + AR
➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at newneo1312@protonmail.com or newneo1312@protonmail.com
Please type us your ID: 3300537***
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.


Обновление от 7-8 апреля 2020: 
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_882345678_bitsupportz@protonmail.com.google
Записка: FileRecovery.txt
Email: bitsupportz@protonmail.com, bitsupportz@cock.li
➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at bitsupportz@protonmail.com or bitsupportz@cock.li
Please type us your ID: 882041942
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
---
В некоторых случаях файлы оказываются затертыми под ноль. 

Обновление от 18 апреля 2020:
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_2623555684_H_brovsky@aol.com.google
Записка: FileRecovery.txt
Email: brovsky@aol.com, brovsky@airmail.cc

➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at brovsky@aol.com or brovsky@airmail.cc
Please type us your ID: 2623555684
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.


Обновление от 23 апреля 2020:
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_1342424413_H_email[Mail@qbmail.biz].google
Записка: FileRecovery.txt
Email: Mail@qbmail.biz, asmodey3301@protonmail.com
➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at email[Mail@qbmail.biz] or asmodey3301@protonmail.com
Please type us your ID: 1342424413
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.


Обновление от 26 апреля 2020:
Файл: [BEST SOFTWARE] EARN $1350 PER DAY.exe
Результаты анализов: VT + VMR + IA
Обнаружения: 
DrWeb -> Trojan.Encoder.31677
BitDefender -> Trojan.GenericKD.43051724
ESET-NOD32 -> A Variant Of Win32/Filecoder.GoGoogle.A
Tencent -> Malware.Win32.Gencirc.116161a7
TrendMicro -> TROJ_GEN.R067C0GE820


Обновление от 28 апреля 2020:
Составное расширение (пример): _ID_3713341344_btc_bitts@protonmail.com.google
Email: btc_bitts@protonmail.com


Обновление от 4 мая 2020:
Топик на форуме >>
Расширение-1: .xraw
Расширение-2: .trix
Составное расширение (пример): _ID_2663275831_[decryption@qbmail.biz].trix
Email: decryption@qbmail.biz, reservedecryption@protonmail.com
Записка: FileRecovery.txt

➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at decryption@qbmail.biz or reservedecryption@protonmail.com
Please type us your ID: 2663275831
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
---
Файл: svhost1.exe
Результаты анализов: VT + IA + HA + TG


Обновление от 8 мая 2020:
Расширение: .google
Составное расширение (пример): _ID_3402672601_[buydecryptor@aol.com].google
Записка: FileRecovery.txt
Email: buydecryptor@aol.com
Результаты анализов: VT + HA + IA + VMR


Обновление от 15 мая 2020:
Расширение: .google
Составное расширение (пример): _ID_3402672367_H_po2977@protonmail.com.google
Записка: FileRecovery.txt
Email: po2977@protonmail.com

➤ Содержание записки: 
Hello, 
your files have been encrypted! To return the files, message us at po2977@protonmail.com or po2977@protonmail.com
Please type us your ID: 3402672345
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.



Обновление от 20 июля 2020:
Топик на форуме >>
Расширение: .go
Составное расширение (пример): _ID_1890882646_[Helprecovery@qbmail.biz].go
Записка: RecoveryFiles.txt
Email: Helprecovery@qbmail.biz, Tbr66@protonmail.com

➤ Содержание записки: 

Hello, 

your files have been encrypted! To return the files, message us at Helprecovery@qbmail.biz or Tbr66@protonmail.com

Please type us your ID: 1890882345

we copied your files and databases to our server, after payment we will delete them and decrypt your data,

in case of non-payment, we will sell your data on hacker forums in a week

You can send us any two encrypted files and we will decrypt them to prove our honesty.

Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.

Обновление от 27 ноября 2020:

Пост на форуме >>

Расширение: .google

Составное расширение (пример): .id[06F02E0A-2455].[wmanxtere@privatemail.com].google

Записки: info.txt, info.hta

Email: wmanxtere@privatemail.com, raypas@goat.si

Telegram: @santatop 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов с расширением .google, есть дешифровщик
Скачайте дешифровщик с официального сайта BitDefender >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GoGoogle)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.