VoidCrypt Ransomware
Aliases: Void, Chaos
Variants & NextGen: Spade, Nyan, Pepe, Encrypted, Ninja, Lalaland, Peace, Hidden, Exploit, Bitch, Honor, Help, Mifr, Sophos, Hmm*, Heirloom, Snoopdogg, Backup
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим GCM или похожий) + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Void, Chaos, но в записке не указано. На файле написано: void или что-то еще. Использует библиотеку Crypto++. Часто модифицируется.
Уплата выкупа не гарантирует расшифровку.
Обнаружения:
DrWeb -> Trojan.Siggen9.36699, Trojan.Encoder.31534, Trojan.Encoder.32640, Trojan.Encoder.33514
Обнаружения:
DrWeb -> Trojan.Siggen9.36699, Trojan.Encoder.31534, Trojan.Encoder.32640, Trojan.Encoder.33514
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Ouroboros, Trojan.Ransom.VoidCrypt
Avast/AVG ->Win32:RansomX-gen [Ransom]
Avira (no cloud) ->TR/FileCoder.zdeun
BitDefender -> Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros, Ransom.VoidCrypt
McAfee -> Ransomware-GYP!BA454585B9F4
Microsoft -> Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Downloader
Tencent -> Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa
TrendMicro -> TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE, Ransom.Win32.OUROBOROS.B
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Ouroboros ✂ > Void, VoidCrypt > new variants > Void NextGen
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Void
Фактически используется составное расширение по шаблону:
.[<email_ramsom>][ID-<ID{15}>].Void
Примеры зашифрованных файлов:
file001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void
file001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void
file001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и других стран.
Записка с требованием выкупа называется: Decryption-Info.HTA
Содержание записки о выкупе:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :EJHPFWKYCNQ5***
Our Email : xtredboy@protonmail.com
In Case Of No Answer : Encryptedxtredboy@protonmail.com
Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваши файлы были зашифрованы с алгоритмом AES + RSA
Если вам нужны ваши файлы, вы должны оплатить стоимость расшифровки
Вы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны содержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)
После 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время выйдет
Использование инструментов восстановления или сторонних приложений может привести к повреждению ваших файлов и повышению цены
Шаги, которые вы должны сделать, чтобы вернуть ваши файлы:
1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене
2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать ваши тест-файлы!)
После получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ RSA
ID вашего дела: EJHPFWKYCNQ5***
Наш email: xtredboy@protonmail.com
В случае отсутствия ответа: Encryptedxtredboy@protonmail.com
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует легитимные утилиты Everything и Process Hacker 2.
➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей, например, с Ouroboros.
Слева скриншот "генов" шифровальщика, а справа — "гены" оригинального дешифровщика. Это может говорить о том, что разработчик VoidCrypt использовал часть разработки из предыдущих проектов.
➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. VoidCrypt отправляет на свой сервер публичный RSA ключ, вместе с ID и IP-адресом жертвы. Публичный ключ и приватный ключ статичны.
Avast/AVG ->Win32:RansomX-gen [Ransom]
Avira (no cloud) ->TR/FileCoder.zdeun
BitDefender -> Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros, Ransom.VoidCrypt
McAfee -> Ransomware-GYP!BA454585B9F4
Microsoft -> Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Downloader
Tencent -> Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa
TrendMicro -> TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE, Ransom.Win32.OUROBOROS.B
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Ouroboros ✂ > Void, VoidCrypt > new variants > Void NextGen
К зашифрованным файлам добавляется расширение: .Void
Фактически используется составное расширение по шаблону:
.[<email_ramsom>][ID-<ID{15}>].Void
Примеры зашифрованных файлов:
file001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void
file001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void
file001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и других стран.
Записка с требованием выкупа называется: Decryption-Info.HTA
Содержание записки о выкупе:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :EJHPFWKYCNQ5***
Our Email : xtredboy@protonmail.com
In Case Of No Answer : Encryptedxtredboy@protonmail.com
Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваши файлы были зашифрованы с алгоритмом AES + RSA
Если вам нужны ваши файлы, вы должны оплатить стоимость расшифровки
Вы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны содержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)
После 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время выйдет
Использование инструментов восстановления или сторонних приложений может привести к повреждению ваших файлов и повышению цены
Шаги, которые вы должны сделать, чтобы вернуть ваши файлы:
1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене
2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать ваши тест-файлы!)
После получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ RSA
ID вашего дела: EJHPFWKYCNQ5***
Наш email: xtredboy@protonmail.com
В случае отсутствия ответа: Encryptedxtredboy@protonmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует легитимные утилиты Everything и Process Hacker 2.
➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей, например, с Ouroboros.
➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен.
➤ Используется RSA-2048, потому взломать ключ не получится. VoidCrypt отправляет на свой сервер публичный RSA ключ, вместе с ID и IP-адресом жертвы. Публичный ключ и приватный ключ статичны.
По данным исследователя Майкла Джиллеспи, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить.
➤ Скриншоты кода:
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных, отключает файервол и прочее:
stevenxx134@gmail.com.exe
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLWriter
net.exe net stop SQLWriter (PID: 3708)
net1.exe %WINDIR%\system32\net1 stop SQLWriter
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLBrowser
net.exe net stop SQLBrowser
net1.exe %WINDIR%\system32\net1 stop SQLBrowser
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQL$CONTOSO1
net.exe net stop MSSQL$CONTOSO1
net1.exe %WINDIR%\system32\net1 stop MSSQL$CONTOSO1
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSDTC
net.exe net stop MSDTC
net1.exe %WINDIR%\system32\net1 stop MSDTC
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled no
cmd.exe %WINDIR%\system32\cmd.exe /c wbadmin delete catalog -quiet
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLSERVERAGENT
net.exe net stop SQLSERVERAGENT
net1.exe %WINDIR%\system32\net1 stop SQLSERVERAGENT
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop vds
net.exe net stop vds
net1.exe %WINDIR%\system32\net1 stop vds
cmd.exe %WINDIR%\system32\cmd.exe /c netsh advfirewall set currentprofile state off
netsh.exe netsh advfirewall set currentprofile state off
cmd.exe %WINDIR%\system32\cmd.exe /c netsh firewall set opmode mode=disable
netsh.exe netsh firewall set opmode mode=disable
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа, но в более новых вариантах это файл !INFO.HTA;
IDo.txt, но в более новых вариантах может быть файл IDk.txt;
pubkey.txt, но в более новых вариантах могут быть файлы pkey.txt, prvkey*.txt.key, prvkey3.txt.key
<random>.exe - случайное название вредоносного файла;
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\IDo.txt
C:\ProgramData\pubkey.txt
D:\yo\chaos\Release\chaos.pdb
Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com
Email-2: USDATAdecrypt@gmail.com
Email-3: stevenxx134@gmail.com
Email-4: steven77xx@mail.ru, Steven77xx@protonmail.com
URL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
🔻 Triage analysiss >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
Если файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы выкупа.
Если никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще одно письмо.
Если что пойдет не так, то вы можете отправить друг другу сообщение через комментарии на этой странице.
Zeropadypt Ransomware - с апреля 2019.
Ouroboros Ransomware (разные версии) - июнь-октябрь 2019.
Ouroboros Ransomware v6 - октябрь-декабрь 2019.
Ouroboros Ransomware v7 - с января 2020.
VoidCrypt (Void, Chaos) Ransomware - с апреля по август 2020.
Более новые варианты см. ниже в разделе обновлений.
Вариант от 10-11 апреля 2020:
Расширение: .Void
Пример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void
Email: DECRPToffice@gmail.com, DECRPT@tutanota.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: DECRPToffice@gmail.com.exe
Результаты анализов: VT + HA + IA + AR
Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение: .void
Записка: Decryption-Info.HTA
Email: SupportVoid@elude.in, SoporteVoid@tutanota.com
Вариант 22-26 апреля 2020:
Расширения: .void
Email: DECRPToffice@gmail.com
DECRPT@tutanota.com
Hichkasam@protonmail.com
helpdiamond@protonmail.com
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :0HJ2IBSWF4*****
Our Email : DECRPToffice@gmail.com
In Case Of No Answer : DECRPT@tutanota.com
-----
Вариант от 27 апреля 2020:
Записка: Decryption-Info.HTA
Email: unl0ckerpkx@tutanota.com
Вариант от 2 мая 2020:
Сообщение >>
Записка: Decryption-Info.HTA
Email: BrillianceBK@protonmail.com
LizardBkup@protonmail.com
Вариант от 5 мая 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void
Elmershawn@aol.com
Записка: Decryption-Info.HTA
Email: Elmershawn@aol.com
Вариант от 1-11 июня 2020:
Расширение: .Void
Пример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA
Email: decoderma@tutanota.com, decoderma@protonmail.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: decoderma@tutanota.com.exe
Результаты анализов: VT + HA + IA + AR + TG
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :N0GXF7YZ31L4***
Our Email : decoderma@tutanota.com
In Case Of No Answer : decoderma@protonmail.com
---
Вариант 17 июня 2020:
Расширения: .Void
Email: missdecryptor@protonmail.com
VoidFiles@tutanota.com
VoidFiles@protonmail.com
Вариант 22-25 июня 2020:
Расширения: .Void
Email: Pentagon11@protonmail.com
guaranteedsupport@protonmail.com
Вариант от 7 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[coronavirus19@tutanota.com][ID-RKF4U16NY3L5QV3].Void
Записка: Decryption-Info.HTA
Email: coronavirus19@tutanota.com, ghostmax@cock.li
Результаты анализов: VT + HA + IA
Вариант 7-17 июля 2020:
Расширения: .Void
Email: guaranteedsupport@protonmail.com
decrypterfile@mailfence.com
hosdecoder@aol.com
Вариант от 10 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[decrypterfile@mailfence.com][ID-KF4U1Y3L5R6NQV3].Void
Записка: Decryption-Info.HTA
Email: decrypterfile@mailfence.com, decrypterfile@protonmail.com
Файл: decrypterfile@mailfence.com.exe
Результаты анализов: VT + HA + IA
Вариант 22-28 июля 2020:
Расширения: .Void
Email: hosdecoder@aol.com
sleepme134@gmail.com
colderman@mailfence.com
Вариант от 2 августа 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[encrypt4u@tutanota.com][ID-14CAHRSI*******].Void
Email: encrypt4u@tutanota.com
Вариант от 9 августа 2020:
Сообщение >>
Пост на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[encryptfile@protonmail.com][JU0W5VC7I43M9TX].Spade
Записка: Read-For-Decrypt.HTA
Email: encryptfile@protonmail.com, encryptfile@cock.li
Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32312
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.D96CE88E
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros
Rising -> Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wogk
TrendMicro -> CallTROJ_GEN.R002H0CHA20
---
➤ Содержание записки:
Your Files Has Been Encrypted
All Your Files , Documents , photos , Databases and other important files are encrypted
And have Extention .Spade
If You Need Your Files You Have To Pay
You can Send 1 Little File Less Than 2MB for Test (The Test Files Should not be Databases Large Excel Sheets or Backups
After 24 Hour Decryption Price Will be Doubled so You Better Contact us as soon as possible
Using Recovery Tools or 3rd Party Applications is useless you can try tough
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your ID :JU0W5VC7I43M9TX
our Email :encryptfile@protonmail.com
In Case Of No Answer :encryptfile@cock.li
Вариант от 28 августа 2020:
Топик на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[rsaencrypt@tutanota.com][UTEO6F1MLDG30QH].Spade
Записка: Read-For-Decrypt.HTA
Email: rsaencrypt@tutanota.com, rsaencrypt@protonmail.ch
➤ В записке теперь используются два онлайн-изображения:
➤ Скриншоты кода:
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных, отключает файервол и прочее:
stevenxx134@gmail.com.exe
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLWriter
net.exe net stop SQLWriter (PID: 3708)
net1.exe %WINDIR%\system32\net1 stop SQLWriter
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLBrowser
net.exe net stop SQLBrowser
net1.exe %WINDIR%\system32\net1 stop SQLBrowser
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQL$CONTOSO1
net.exe net stop MSSQL$CONTOSO1
net1.exe %WINDIR%\system32\net1 stop MSSQL$CONTOSO1
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSDTC
net.exe net stop MSDTC
net1.exe %WINDIR%\system32\net1 stop MSDTC
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled no
cmd.exe %WINDIR%\system32\cmd.exe /c wbadmin delete catalog -quiet
cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLSERVERAGENT
net.exe net stop SQLSERVERAGENT
net1.exe %WINDIR%\system32\net1 stop SQLSERVERAGENT
cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
net.exe net stop MSSQLSERVER
net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
cmd.exe %WINDIR%\system32\cmd.exe /c net stop vds
net.exe net stop vds
net1.exe %WINDIR%\system32\net1 stop vds
cmd.exe %WINDIR%\system32\cmd.exe /c netsh advfirewall set currentprofile state off
netsh.exe netsh advfirewall set currentprofile state off
cmd.exe %WINDIR%\system32\cmd.exe /c netsh firewall set opmode mode=disable
netsh.exe netsh firewall set opmode mode=disable
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа, но в более новых вариантах это файл !INFO.HTA;
IDo.txt, но в более новых вариантах может быть файл IDk.txt;
pubkey.txt, но в более новых вариантах могут быть файлы pkey.txt, prvkey*.txt.key, prvkey3.txt.key
<random>.exe - случайное название вредоносного файла;
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\IDo.txt
C:\ProgramData\pubkey.txt
D:\yo\chaos\Release\chaos.pdb
Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com
Email-2: USDATAdecrypt@gmail.com
Email-3: stevenxx134@gmail.com
Email-4: steven77xx@mail.ru, Steven77xx@protonmail.com
URL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
🔻 Triage analysiss >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ОРИГИНАЛЬНЫЕ ДЕШИФРОВЩИКИ === DECRYPTORS/DECODERS ===
Вариант 2020 года (ранний)
Вариант 2021 года
Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей.
Если файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы выкупа.
Если никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще одно письмо.
Если что пойдет не так, то вы можете отправить друг другу сообщение через комментарии на этой странице.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Zeropadypt Ransomware - с апреля 2019.
Ouroboros Ransomware (разные версии) - июнь-октябрь 2019.
Ouroboros Ransomware v6 - октябрь-декабрь 2019.
Ouroboros Ransomware v7 - с января 2020.
VoidCrypt (Void, Chaos) Ransomware - с апреля по август 2020.
Более новые варианты см. ниже в разделе обновлений.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 10-11 апреля 2020:
Расширение: .Void
Пример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void
Email: DECRPToffice@gmail.com, DECRPT@tutanota.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: DECRPToffice@gmail.com.exe
Результаты анализов: VT + HA + IA + AR
Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение: .void
Записка: Decryption-Info.HTA
Email: SupportVoid@elude.in, SoporteVoid@tutanota.com
Вариант 22-26 апреля 2020:
Расширения: .void
Email: DECRPToffice@gmail.com
DECRPT@tutanota.com
Hichkasam@protonmail.com
helpdiamond@protonmail.com
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :0HJ2IBSWF4*****
Our Email : DECRPToffice@gmail.com
In Case Of No Answer : DECRPT@tutanota.com
-----
Вариант от 27 апреля 2020:
Записка: Decryption-Info.HTA
Email: unl0ckerpkx@tutanota.com
Вариант от 2 мая 2020:
Сообщение >>
Записка: Decryption-Info.HTA
Email: BrillianceBK@protonmail.com
LizardBkup@protonmail.com
Вариант от 5 мая 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void
Elmershawn@aol.com
Записка: Decryption-Info.HTA
Email: Elmershawn@aol.com
Вариант от 1-11 июня 2020:
Расширение: .Void
Пример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA
Email: decoderma@tutanota.com, decoderma@protonmail.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: decoderma@tutanota.com.exe
Результаты анализов: VT + HA + IA + AR + TG
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :N0GXF7YZ31L4***
Our Email : decoderma@tutanota.com
In Case Of No Answer : decoderma@protonmail.com
---
Вариант 17 июня 2020:
Расширения: .Void
Email: missdecryptor@protonmail.com
VoidFiles@tutanota.com
VoidFiles@protonmail.com
Вариант 22-25 июня 2020:
Расширения: .Void
Email: Pentagon11@protonmail.com
guaranteedsupport@protonmail.com
Вариант от 7 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[coronavirus19@tutanota.com][ID-RKF4U16NY3L5QV3].Void
Записка: Decryption-Info.HTA
Email: coronavirus19@tutanota.com, ghostmax@cock.li
Результаты анализов: VT + HA + IA
Вариант 7-17 июля 2020:
Расширения: .Void
Email: guaranteedsupport@protonmail.com
decrypterfile@mailfence.com
hosdecoder@aol.com
Вариант от 10 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[decrypterfile@mailfence.com][ID-KF4U1Y3L5R6NQV3].Void
Записка: Decryption-Info.HTA
Email: decrypterfile@mailfence.com, decrypterfile@protonmail.com
Файл: decrypterfile@mailfence.com.exe
Результаты анализов: VT + HA + IA
Вариант 22-28 июля 2020:
Расширения: .Void
Email: hosdecoder@aol.com
sleepme134@gmail.com
colderman@mailfence.com
Вариант от 2 августа 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[encrypt4u@tutanota.com][ID-14CAHRSI*******].Void
Email: encrypt4u@tutanota.com
Вариант от 9 августа 2020:
Сообщение >>
Пост на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[encryptfile@protonmail.com][JU0W5VC7I43M9TX].Spade
Записка: Read-For-Decrypt.HTA
Email: encryptfile@protonmail.com, encryptfile@cock.li
Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32312
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.D96CE88E
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros
Rising -> Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wogk
TrendMicro -> CallTROJ_GEN.R002H0CHA20
---
Your Files Has Been Encrypted
All Your Files , Documents , photos , Databases and other important files are encrypted
And have Extention .Spade
If You Need Your Files You Have To Pay
You can Send 1 Little File Less Than 2MB for Test (The Test Files Should not be Databases Large Excel Sheets or Backups
After 24 Hour Decryption Price Will be Doubled so You Better Contact us as soon as possible
Using Recovery Tools or 3rd Party Applications is useless you can try tough
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your ID :JU0W5VC7I43M9TX
our Email :encryptfile@protonmail.com
In Case Of No Answer :encryptfile@cock.li
Вариант от 28 августа 2020:
Топик на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[rsaencrypt@tutanota.com][UTEO6F1MLDG30QH].Spade
Записка: Read-For-Decrypt.HTA
Email: rsaencrypt@tutanota.com, rsaencrypt@protonmail.ch
Вариант от 18 сентября 2020:
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade
Email: Wannadecryption@gmail.com
Файл: dwm.exe
Вариант от 18 сентября 2020:
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[SpadeEncrypt@tutanota.com][2XPU94ACJRDM6IZ].Spade
Email: SpadeEncrypt@tutanota.com, SpadeEncrypt@protonmail.com
Вариант от 24 сентября:
Email: ftworksergey@gmail.com
deccoder431@protonmail.com
helpsdec@tutanota.com
---
Пострадавшие сообщили, что после уплаты выкупа, с этих адресов ведётся дополнительное вымогательство денег. Выдержка их переписки с вымогателями:
Пострадавший пользователь:
Мы оплатили, вы обещали скинуть код после оплаты первой части.
---
Ответ вымогателей:
Да, подтверждаем. Нет проблем, и наш админ вам доверяет.
Вы можете получить помощь от Google по выбору способа оплаты.
---
Снова ответ вымогателей:
Мы не просили дополнительных денег. Один раз наш администратор вам доверял, а вы заплатили небольшую сумму. Чтобы вернуть доверие нашего администратора, вам придется заплатить остальную сумму, потому что мы вам больше не доверяем.
Вариант от 30 сентября 2020:
Расширение: .nyan
Составное расширение (пример): .[decinfo7@gmail.com][5IBQ6JU4K7NPDS0].nyan
Email: decinfo7@gmail.com
Вариант от 7 октября 2020:
Расширение: .pepe
Составное расширение (пример): .[decodevoid@gmail.com][TQFHAEMWJL2UV01].pepe
Записка: !INFO.HTA
Email: decodevoid@gmail.com, docodepepe@gmail.com
➤ Содержание записки:
!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦
♦ there is no way to decrypt your files without paying and buying Decryption tool♦
♦ but after 48 hour decryption price will be double♦
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦Your ID :TQFHAEMWJL2U***
our Email :decodevoid@gmail.com
In Case Of No Answer :docodepepe@gmail.com
Вариант от 8 октября 2020:
Расширение: .Encrypted
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Encrypted
Составное расширение (пример): .[EnceryptedFiles@tutanota.com][GY0ZUXN421RIA6D].Encrypted
Записка: !INFO.HTA
Email: EnceryptedFiles@tutanota.com, ReturnEncerypted@tutanota.com
https://www.kaspersky.com/content/en-global/images/repository/isc/2017-images/encryption.jpg
https://www.iconsdb.com/icons/preview/red/lock-xxl.png
➤ Содержание записки:
!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦
♦ there is no way to decrypt your files without paying and buying Decryption tool♦
♦ but after 48 hour decryption price will be double♦
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦Your ID :GY0ZUXN421RIA6D
our Email :EnceryptedFiles@tutanota.com
In Case Of No Answer :ReturnEncerypted@tutanota.com
Вариант от 13 октября 2020:
Расширение: .ninja
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].ninja
Составное расширение (пример): .[dr8002dr@mailfence.com][EIPDQY84TM6X1V2].ninja
Записка: !INFO.HTA
Email: dr8002dr@mailfence.com
Вариант от 14 октября 2020:
Расширение: .lalaland
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].lalaland
Составное расширение (пример): .[recover10@tutanota.com][LIEP5WCT1JBDSVZ].lalaland
Записка: !INFO.HTA
Вариант от 17 октября 2020:
Расширение: .Peace
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Peace
Составное расширение (пример): .[peace491@tuta.io][U1OR08LYSBGXF3D].Peace
Записка: !INFO.HTA
Email: peace491@tuta.io
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32640
ALYac -> Trojan.Ransom.VoidCrypt
Avira (no cloud) -> TR/AD.OuroborosRansom.fkiqo
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.VoidCrypt
Вариант от 23 октября 2020:
Расширение: .Hidden
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Hidden
Составное расширение (пример): .[Wannadecryption@gmail.com][J61FB5P23IKT***].Hidden
Email: Wannadecryption@gmail.com
Записка: !INFO.HTA
➤ Содержание записки:
!!! Your Files Has Been Encrypted !!!
♦ your files has been locked with highest secure cryptography algorithm ♦
♦ there is no way to decrypt your files without paying and buying Decryption tool♦
♦ but after 48 hour decryption price will be double♦
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦
Your ID :J61FB5P23IKT***
our Email :Wannadecryption@gmail.com
In Case Of No Answer :Wannadecryption@gmail.com
Вариант от 28 октября 2020:
Расширение: .bitch
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].bitch
Составное расширение (пример): .[sleepme134@gmail.com][Z7G1J92VROQT***].bitch
Email: sleepme134@gmail.com
Вариант от 29 октября 2020:
Расширение: .exploit
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].exploit
Составное расширение (пример): .[alix1011@mailfence.com][IGR4QWBC1HO2JNY].exploit
Записка: !INFO.HTA
Email: alix1011@mailfence.com
Вариант от 16 ноября 2020:
Расширение: .honor
Составное расширение (пример): .[honorsafe@keemail.me][XXXXXXXXXXXXXXX]*.honor
Email: honorsafe@keemail.me, honorsafe@protonmail.ch
Под * - разные номера.
Записки: !INFO.HTA, !INFO2.HTA
Вариант от 1 декабря 2020:
Расширение: .help
Составное расширение (пример): .[galivertones@aol.com][XXXXXXXXXXXXXXX].help
Вариант от 3 декабря 2020:
Расширение: .Void
Email: 666lilium666@gmail.com, gregoryluton021021@gmail.com
По сообщению пострадавшего, обманывают, не предоставляют дешифровку, хотят больше денег.
Вариант от 7 декабря 2020:
Расширение: .Spade
Составное расширение (пример): .[lossdata@tutanota.com][1KUGSZMEY0JRP5T].Spade
Email: lossdata@tutanota.com
Вариант от 11 декабря 2020:
Расширение: .mifr
Составное расширение (пример): .[Hiden_pro@aol.com][VAI08SP61LHCXZ9].mifr
Записка: !INFO.HTA
Email: Hiden_pro@aol.com, Hiden_pro@tutanota.com
Вариант от 13 декабря 2020:
Расширение: .Sophos
Составное расширение (пример): .[encryptadm@criptext.com][VAICXP61L8S5XY5].Sophos
Записка: !INFO.HTA
Email: encryptadm@criptext.com, decryptadm@criptext.com
Файл проекта: C:\Users\Legion\source\repos\curl\Release\curl.pdb
Файл: LOL.exe
=== 2021 ===
Вариант от 4 января 2021:
Расширение: .hmmmmmmmm
Составное расширение (пример): .[Windows358@tuta.io][3MUPT6SILJF2QNK].hmmmmmmmm
Записка: !INFO.HTA
Email: Windows358@tuta.io, windows358@mailfence.com
Вариант от 6 января 2021:
Расширение: .heirloom
Записка: !INFO.HTA
Составное расширение (пример): .[rebkeilo@gmail.com][NZX1IC9GYJMSH6K].heirloom
Email: rebkeilo@gmail.com, decode.emf@tutanota.com
Вариант от 10 января 2021:
Расширение: .hmmmmm
Составное расширение (пример): .[Adm0251@tuta.io][P9TJVIU3MWAC2Y5].hmmmmm
Email: Adm0251@tuta.io, Aser51a0@protonmail.io
Записка: !INFO.HTA
Вариант от 22 января 2021:
Расширение: .Spade
.[whiopera@tutanota.com][UZ82E3JFASPT476].Spade
Записка: !INFO.HTA
Email: whiopera@tutanota.com, whiopera@aol.com
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :XXXXXXXXXXXXXXX
Our Email : whiopera@tutanota.com
In Case Of No Answer : whiopera@aol.com
Вариант от 16 февраля 2021:
Видимо вариант аналогичный предыдущему. Это подтверждает, что он продолжает распространяться.
Расширение: .Spade
Составное расширение (пример): .[whiopera@tutanota.com][9E3NH7AGLM5T1BV].Spade
Email: whiopera@tutanota.com, whiopera@aol.com
Записка: !INFO.HTA
Вариант от 25 февраля 2021:
Расширение: .Snoopdogg
Составное расширение (пример): .[Openfileyou@protonmail.com][MJ-MJ3902574681].Snoopdogg
Записка: Decrypt-me.txt
Email:Openfileyou@protonmail.com, Openfileyou@mailfence.com
Специальные файлы: idk.txt, pkey.txt, prvkey2.txt, prvkey2.txt.key, prvkey*.txt.key, prvkey3.txt.key
Файл: Openfileyou@protonmail.com.exe (добавляется в Автозагрузку)
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33514
ALYac -> Trojan.Ransom.VoidCrypt
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.4685843F
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.G
Ikarus -> Trojan-Ransom.Ouroboros
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Ymacco.AA16
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Swvd
TrendMicro -> TROJ_GEN.R002H09BP21
Вариант от 16 марта 2021:
Расширение: .Backup
Составное расширение (пример): .[unlockdata@criptext.com][MJ-XK8920513570].Backup
Записка: Decrypt-me.txt
Email: unlockdata@criptext.com, unlockdata@rape.lol
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as VoidCrypt) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author), Michael Gillespie dnwls0719, Kangxiaopao Intezer Analyze to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
hi everyone ! есть exe'шник вируса. может кто помочь с поиском дешифровальщика ?
ОтветитьУдалитьПоместите в архив с паролем "infected" и загрузите на https://dropmefiles.com
УдалитьПередайте полученную ссылку здесь же. Она не появится без модерации, так мы безопасно получим файл.
вот https://dropmefiles.com/X96bK
УдалитьОК. Забрал. Спасибо.
УдалитьПусть ссылка пока будет активна.
УдалитьДобрый день. Нужна помощь. Ситуация аналогичная.
Удалитьвот ссылка https://dropmefiles.com/QKolO
Там файл шифровальщик и один из зашифрованных файлов.
Можете помочь?
Привет всем!
ОтветитьУдалитьу меня весь комьютер заражен. можно ли какнибуть спасти иформацию :((((
HELP :(
См. выше раздел "Технические детали" со слов "Используется RSA-2048" ...
УдалитьВсем Привет.
ОтветитьУдалитьВот exe файл с вирусом
https://dropmefiles.com/yKnyW
архив с паролем "infected"
Буду благодарен за любую помощь
Просьба перезалить!
УдалитьСм. выше Обновление от 10-11 апреля 2020, Результаты анализов: VT + HA + IA + AR
УдалитьЭто и есть образцы, после регистрации можно скачать с HA и AR.
В exe-виде файлы не передаются. Антивирусные лаборатории могут получить образцы из любого из этих сервисов, если они там зарегистрированы на коммерческой основе.
Привет еще раз, списался с вымогателями со почти voidcrypthelp@gmail.com, ответили с адреса decrpt@tutanota.com. Договорились о цене, оплатил им, а в ответ ни декриптора ни денег обратно. Кому интересно могу предоставить переписку. Платить в надежде что расшифрую файлы, бесполезно
ОтветитьУдалитьНужно подождать и написать на оба адреса. Технакладки случаются везде. Если не ответят через несколько дней, присылайте переписку, скриншоты.
УдалитьRSA-ключ тоже не прислали?
УдалитьСуть в том что я переписываюсь, мне отвечают, договорились о цене, перед оплатой мне все подтвердили, мол да все ок платите, после оплаты сказали мол передумали, доплачивайте и мы Вам вышлем ключ. Естественно деньги не возвращают, как в таком случае можно им доверять, где уверенность что опять не кинут. Кому прислать переписку, могу даже оплату прислать, это все видно...
Удалитьpls send your case id here i will check and if you paid i will send you decryption key and ban that user from service
УдалитьRSA-ключ тоже не прислали...
ОтветитьУдалитьПереписку отправил Вам на почту, если не верите
I do not recommend paying void ransomware or voidcrypt.
ОтветитьУдалитьMy files was encrypted by void ransomware.
After the conversation we had a deal. I've paid the price after agreement about the possibility of the payment, but they wrote that they was changed the idea and I need to pay the same price one more time. They don't give my money back and don't want to decryption my files. I can show all letters with them. His contact email DECRPToffice@gmail.com but i received answer from decrpt@tutanota.com
Новый случай. Екатеринбург. Требуют 2000 долларов.
ОтветитьУдалитьниже текст письма:
Your files have been locked by our team . . You will have to pay $ 2,000 to reopen your files . . You have 48 hours to pay the requested amount. . . .If you do not pay during this period, your files will be locked forever . . Our account in Blockchain: 194Bhb2JsFo56uXtHJXcKL6Nnb2g9mreYf
If you agree with the terms of the previous email ... The file you sent for testing is shortcut Send another file to decrypt
Разрешение файла:
.[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void
Платить смысла не вижу. Шифровали, видимо, самостоятельно.
Сеть простраивал другой айтишник. Имеем: фаил с данными учетной записи администратора сервера находился в общей папке (доступ на чтение-запись), далее на сервере была создана учетная запись "1 1." с логином входа в домене "123" - было несколько сообщении о том, что "123" пытается подключиться к удаленному рабочему столу, бла бла бла сбросить подключение? ок и отмена. Клиента перезагрузил комп. Под своей учеткой войти не мог, отключили WiFi вошли под локальным Администратором. На серевере отключили "1 1.", удалили учетку. на "ПК-жертве" файлы были зашифрованны. Папка пользователя "123" есть - в ней на рабочем столе файлы "encryptc4@elude.in" - винрар архив, "Moh.exe", "5-NS.exe" и "desktop.ini" - эти файлы, также, были зашифрованны. архив - поврежден и не открывается (повторюсь, файлы были зашифрованны - я просто удалил приставку ".[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void". В итоге имеем шифратор, но тоже зашифрованный. Платить никто не будет.
Требуют удвоить оплату
ОтветитьУдалитьПеред оплатой получил подтверждение что платите мы Вам все вышлем, после оплаты мол доплатите еще столько же и мы Вам выглем. В итоге ни денег ни ключа
ОтветитьУдалитьunknown
ОтветитьУдалитьwe already asked your id to give your key 3 days ago but you didnt answered
you didnt checked your email!!!
as for
step
i need the id to check if the payment is done or not
Это файл Decryptor.
ОтветитьУдалитьLink : https://ufile.io/sdeeeqp4
РАБОЧИЙ КЛЮЧ, который фирме в итоге обошёлся в шестизначную сумму
ОтветитьУдалить------------RSA-KEY-----------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-------------------------------
email: unl0ckerpkx@tutanota.com
-------------------------------
Id: ID-X2HDJZFSLM0TAO1
-------------------------------
А вдруг кому-то еще поможет...
тоже взломали. есть 100% решение проблемы? или все из архивов восстанавливать
ОтветитьУдалитьБез RSA-ключей, которые есть у вымогателей, дешифровать не получится.
Удалитьони очень много просят. 2000$. как бы космос для меня. как с ними поторговаться? и какой % что не кинут.
Удалить100$ даже много, согласен, но никакой гарантии не дадут. Просите уменьшить цену, но и тогда не факт, что не потребуют всю сумму после части расшифрованных файлов.
ОтветитьУдалитьДень добрый всем!
ОтветитьУдалитьСтолкнулся с этой заразой, есть рабочие решения как победить эту беду?
амиго а вы можете помочь? есть exe.
ОтветитьУдалитьЭто не в моих силах. Вам лучше сразу в DrWeb с этим файлом и зашифрованными.
Удалитьhttps://legal.drweb.ru/encoder/?lng=ru
Просьба залить данный исполняемый файл на любой файловый обменник, предварительно положив его в архив с паролем "infected"
Удалитьvot i menya poimali,
ОтветитьУдалитьUSDATAdecrypt@gmail.com
platit' nebubu.
добрый день всем потерпевшим.
ОтветитьУдалитьвот как это случилось у меня.
как раз закончилась лицензия касперского. оставлял комп включенным , чтобы работать по удаленке. 12 мая прийдя на работу комп работал, но заметил
не давал открыть диспетчер задач, сразу понял что что-то творится не ладное, отключил от сети , проверил на изменения, во первых появился новый пользователь Foobar, отключились политики запрет диспетчера задач, затем в настройках папки встала галочка на непоказывать системные и скрытые папки(хотя я ее убирал), следующий шаг - все диски которые были в системе , даже которые без буквы , стали отображаться в проводнике как сетевые подключенные диски, далеее короче видимо стали шифроваться файлы, но я успел перезагрузить в безопасный режим и запустить утилиту курит дрвеб, но оказалось что почти все диски зашифровалгад, исключение последние два и то только папки которые не были скрыты.
Так кто нашел дескриптор или дешифратор , поделитесь пожалуйста на ahms@mail.ru
Оригинальный дешифровщик без закрытого RSA ключа бесполезен. Для шифрования используется алгоритм RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. Чужой ключ для файлов также не поможет, данные непостоянные.
УдалитьТолько вот отправляет он не приватный RSA ключ на свой сервер, а публичный, вместе с ID и IP-адресом жертвы.
УдалитьПубличный ключ статичен, как и приватный, в отличии от ID жертвы.
Файлы с ID и публичным ключом можно восстановить из папки "Program Data",они будут прямо в корне.
Не надо путать людей.
Зашифровали данные. Попробовал связаться и заплатить и меня кинули. НЕ ВЗДУМАЙТЕ ПЛАТИТЬ.... Это развод чистой воды. !!!!
ОтветитьУдалитьКто то платил им? Прислали данные для расшифровки?
ОтветитьУдалитьбеда столкнулся с этим, помогите
ОтветитьУдалитьБеда взломали доступ к серверу и закинули эту заразу помогите решить с расшифровкой?
ОтветитьУдалитьЭтой ночью тоже по RDP сервер ломанули...
ОтветитьУдалитьСудя по всему дешифровальщик пока так и не нашли.
Подхватили эту заразу, странно что после формата пользовальских машин с них продолжается подозрительная сетевая активность, службы lsas svhost ломяться на сервера(20-50 попыток в минуту) касперский тотал секурити на заражённых машинах убивает драйвера сетевой карты и юсб, в среднем после установки чистой системы пк начинает ломиться к сервакам через пол часа через всех пользователей, проверка касперским endpoint secure, total secure, avast, norton, comodo.
ОтветитьУдалитьМожете предоставить журнал RDP и список активных процессов и служб, а также листинг файлов и директорий в расположении %WINDIR% ?
УдалитьДобрый день!Также по RDP вчера все слегло, и сервер 1с и все документы, что делать?
ОтветитьУдалитьДешифровальщик имеется ли у кого?
Прочтите сообщения выше. Там есть ответы на все вопросы.
Удалитьвзломали сервер по RDP... выкупили ключ... но что делать с этим ключом ?? за эту прогу запросили еще кучу денег... сам ключ прислали.. подскажите что за программа и где ее взять ?
ОтветитьУдалитьВзломали, зашифровали. Долго торговались с ними - в итоге заплатили... Прислали ключ и запросили еще в 2 раза больше за саму программу... Подскажите как нам с помощью этого ключа восстановить информацию ??
ОтветитьУдалитьВоспользуйтесь формой обратной связи, укажите свой email для ответа или напишите сразу на наш email, см. страницу "Контакт".
УдалитьСкажите пожалуйста , прислали декриптор и рса ключ - вставью данные, нажимаю старт и ничего не происходит
ОтветитьУдалитьДешифратор, скорее всего, для 32-х разрядной версии. Используйте встроенное в Windows средство запуска в режиме совместимости.
УдалитьДекриптор работает и на 64х разрядных версиях. Вопрос состоит в том, пытались ли вы самостоятельно расшифровать свои файлы инструментами из интернета.
УдалитьСколько заплатили ? Ведём переговоры
УдалитьЗашифровали. Мы заплатили, код не прислали , вымогают еще денег.
ОтветитьУдалитьДошло до того что просят хотя бы 50 баксов, и уже понятно что код не пришлют. Утверждают о своей честности и порядочности )) а код не присылают.
Переписку вели с адресами ftworksergey@gmail.com , deccoder431@protonmail.com , helpsdec@tutanota.com
Будьте бдительны когда кидаетесь платить этим ребятам деньги!
Есть вся переписка могу предоставить если кому интересно!
Присылайте, опубликуем. Недавно кое-кто уверял, что расшифруют, если заплатили.
УдалитьПереписку присылать ? куда ?
Удалитьhttps://id-ransomware.blogspot.com/p/contact.html
УдалитьСообщение что кто то заплатил и ему расшифровали ложь. Мы заплатили, но ни чего не получили.
ОтветитьУдалитьВначале действительно расшифровывали, потом стали юлить и не присылать дешифратор. Теперь, вот как вам, ничего не прислали.
УдалитьЭтот комментарий был удален автором.
УдалитьЗашифровали компьютер. После дешифровки пробных файлов отправили сумму, но в ответ тишина. Переписка велась с адреса sleepme134@gmail.com
ОтветитьУдалитьПришлите нам файлы (записки от вымогателей, заш-файлы), почта есть в контактах. Или воспользуйтесь сайтом https://dropmefiles.com
УдалитьКакой смысл вам присылать переписку? Где вы ее опубликовываете ? Я прислал переписку и что ? Кому нибудь сдесь помогли ?
УдалитьПодскажите, пожалуйста, есть ли рабочий дешифратор для.spade? Ключ и ID восстановлен
ОтветитьУдалитьhttps://id-ransomware.blogspot.com/p/blog-page_7.html
УдалитьДоброго дня!
ОтветитьУдалить.[unlockdata@criptext.com][MJ-XK8920513476].Backup
Указаны следующие почты:
Our Email:unlockdata@criptext.com
in Case of no Answer:unlockdata@rape.lol
Существует ли дешифратор?
Спасибо.
Есть оригинальный дешифратор, но без приватного ключа RSA он ничего не расшифрует.
ОтветитьУдалитьСпасибо за ответ, вопрос уже неактуален, делайте бекапы, господа. )
Удалить