пятница, 10 апреля 2020 г.

VoidCrypt

VoidCrypt Ransomware

Aliases: Void, Chaos 

Variants & NextGen: Spade, Nyan, Pepe, Encrypted, Ninja, Lalaland, Peace, Hidden, Exploit, Bitch, Honor, Help, Mifr, Sophos, Hmm*, Heirloom, Snoopdogg, Backup

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим GCM или похожий) + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Void, Chaos, но в записке не указано. На файле написано: void или что-то еще. Использует библиотеку Crypto++. Часто модифицируется. 
Уплата выкупа не гарантирует расшифровку. 

Обнаружения:
DrWeb 
-> Trojan.Siggen9.36699, Trojan.Encoder.31534, Trojan.Encoder.32640, Trojan.Encoder.33514
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Ouroboros, Trojan.Ransom.VoidCrypt
Avast/AVG ->Win32:RansomX-gen [Ransom]
Avira (no cloud) ->TR/FileCoder.zdeun
BitDefender -> Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros, Ransom.VoidCrypt
McAfee -> Ransomware-GYP!BA454585B9F4
Microsoft -> Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Downloader
Tencent -> Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa
TrendMicro -> TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE, Ransom.Win32.OUROBOROS.B
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Ouroboros ✂ Void, VoidCrypt > new variants > Void NextGen


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Void

Фактически используется составное расширение по шаблону:
.[<email_ramsom>][ID-<ID{15}>].Void

Примеры зашифрованных файлов:
file001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void
file001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void
file001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и других стран. 

Записка с требованием выкупа называется: Decryption-Info.HTA

Содержание записки о выкупе:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :EJHPFWKYCNQ5***
Our Email : xtredboy@protonmail.com
In Case Of No Answer : Encryptedxtredboy@protonmail.com

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваши файлы были зашифрованы с алгоритмом AES + RSA
Если вам нужны ваши файлы, вы должны оплатить стоимость расшифровки
Вы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны содержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)
После 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время выйдет
Использование инструментов восстановления или сторонних приложений может привести к повреждению ваших файлов и повышению цены
Шаги, которые вы должны сделать, чтобы вернуть ваши файлы:
1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене
2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать ваши тест-файлы!)
После получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ RSA
ID вашего дела: EJHPFWKYCNQ5***
Наш email: xtredboy@protonmail.com
В случае отсутствия ответа: Encryptedxtredboy@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует легитимные утилиты Everything и Process Hacker 2.

➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей
, например, с Ouroboros. 
 
Слева скриншот "генов" шифровальщика, а справа — "гены" оригинального дешифровщика. Это может говорить о том, что разработчик VoidCrypt использовал часть разработки из предыдущих проектов. 

➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен. 
➤ Используется RSA-2048, потому взломать ключ не получится. VoidCrypt отправляет на свой сервер публичный RSA ключ, вместе с ID и IP-адресом жертвы. Публичный ключ и приватный ключ статичны. 
По данным исследователя Майкла Джиллеспи, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. 

➤ Скриншоты кода:

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных, отключает файервол и прочее:
 stevenxx134@gmail.com.exe
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLWriter
 net.exe net stop SQLWriter (PID: 3708)  
 net1.exe %WINDIR%\system32\net1 stop SQLWriter
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLBrowser
 net.exe net stop SQLBrowser
 net1.exe %WINDIR%\system32\net1 stop SQLBrowser
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
 net.exe net stop MSSQLSERVER
 net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQL$CONTOSO1
 net.exe net stop MSSQL$CONTOSO1
 net1.exe %WINDIR%\system32\net1 stop MSSQL$CONTOSO1
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSDTC
 net.exe net stop MSDTC
 net1.exe %WINDIR%\system32\net1 stop MSDTC
 cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled no
 cmd.exe %WINDIR%\system32\cmd.exe /c wbadmin delete catalog -quiet
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLSERVERAGENT
 net.exe net stop SQLSERVERAGENT
 net1.exe %WINDIR%\system32\net1 stop SQLSERVERAGENT
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
 net.exe net stop MSSQLSERVER
 net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop vds
 net.exe net stop vds
 net1.exe %WINDIR%\system32\net1 stop vds
 cmd.exe %WINDIR%\system32\cmd.exe /c netsh advfirewall set currentprofile state off
 netsh.exe netsh advfirewall set currentprofile state off
 cmd.exe %WINDIR%\system32\cmd.exe /c netsh firewall set opmode mode=disable
 netsh.exe netsh firewall set opmode mode=disable

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа, но в более новых вариантах это файл !INFO.HTA; 
IDo.txt, но в более новых вариантах может быть файл IDk.txt;
pubkey.txt, но в более новых вариантах могут быть файлы pkey.txt, prvkey*.txt.key, prvkey3.txt.key
<random>.exe - случайное название вредоносного файла;
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\IDo.txt
C:\ProgramData\pubkey.txt
D:\yo\chaos\Release\chaos.pdb 

Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com
Email-2: USDATAdecrypt@gmail.com
Email-3: stevenxx134@gmail.com
Email-4: steven77xx@mail.ru, Steven77xx@protonmail.com
URL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png


См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
🔻 Triage analysiss >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.






=== ОРИГИНАЛЬНЫЕ ДЕШИФРОВЩИКИ === DECRYPTORS/DECODERS ===

Вариант 2020 года (ранний)

Вариант 2021 года

Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей. 

Если файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы выкупа. 
Если никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще одно письмо. 
Если что пойдет не так, то вы можете отправить друг другу сообщение через комментарии на этой странице. 




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Zeropadypt Ransomware - с апреля 2019. 
Ouroboros Ransomware (разные версии) - июнь-октябрь 2019. 
Ouroboros Ransomware v6 - октябрь-декабрь 2019. 
Ouroboros Ransomware v7 - с января 2020. 
VoidCrypt (Void, Chaos) Ransomware - с апреля по август 2020. 
Более новые варианты см. ниже в разделе обновлений. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10-11 апреля 2020:
Расширение: .Void
Пример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void
Email: DECRPToffice@gmail.com, DECRPT@tutanota.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: DECRPToffice@gmail.com.exe
Результаты анализов: VT + HA + IA + AR

Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение: .void
Записка: Decryption-Info.HTA
Email: SupportVoid@elude.in, SoporteVoid@tutanota.com

Вариант 22-26 апреля 2020: 
Расширения: .void
Email: DECRPToffice@gmail.com
DECRPT@tutanota.com
Hichkasam@protonmail.com
helpdiamond@protonmail.com
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :0HJ2IBSWF4*****
Our Email : DECRPToffice@gmail.com
In Case Of No Answer : DECRPT@tutanota.com

-----

Вариант от 27 апреля 2020:
Записка: Decryption-Info.HTA
Email: unl0ckerpkx@tutanota.com

Вариант от 2 мая 2020:
Сообщение >>
Записка: Decryption-Info.HTA
Email: BrillianceBK@protonmail.com
LizardBkup@protonmail.com



Вариант от 5 мая 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void
Elmershawn@aol.com
Записка: Decryption-Info.HTA
Email: Elmershawn@aol.com

Вариант от 1-11 июня 2020:
Расширение: .Void
Пример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA
Email: decoderma@tutanota.com, decoderma@protonmail.com 
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: decoderma@tutanota.com.exe
Результаты анализов: VT + HA + IA + AR + TG
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm 
 If You Need Your Files You Have To Pay Decryption Price 
 You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups 
 After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
 Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price 
The Steps You Should Do To Get Your Files Back: 
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) 
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :N0GXF7YZ31L4***
Our Email : decoderma@tutanota.com 
In Case Of No Answer : decoderma@protonmail.com 
---

Вариант 17 июня 2020: 
Расширения: .Void
Email: missdecryptor@protonmail.com
VoidFiles@tutanota.com
VoidFiles@protonmail.com

Вариант 22-25 июня 2020: 
Расширения: .Void
Email: Pentagon11@protonmail.com
guaranteedsupport@protonmail.com

Вариант от 7 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[coronavirus19@tutanota.com][ID-RKF4U16NY3L5QV3].Void
Записка: Decryption-Info.HTA
Email: coronavirus19@tutanota.com, ghostmax@cock.li 
Результаты анализов: VT + HA + IA



Вариант 7-17 июля 2020: 
Расширения: .Void
Email: guaranteedsupport@protonmail.com
decrypterfile@mailfence.com
hosdecoder@aol.com

Вариант от 10 июля 2020:
Сообщение >>
Расширение: .Void
Пример составного расширения: .[decrypterfile@mailfence.com][ID-KF4U1Y3L5R6NQV3].Void
Записка: Decryption-Info.HTA
Email: decrypterfile@mailfence.com, decrypterfile@protonmail.com
Файл: decrypterfile@mailfence.com.exe
Результаты анализов: VT + HA + IA


Вариант 22-28 июля 2020: 
Расширения: .Void
Email: hosdecoder@aol.com
sleepme134@gmail.com
colderman@mailfence.com

Вариант от 2 августа 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[encrypt4u@tutanota.com][ID-14CAHRSI*******].Void
Email: encrypt4u@tutanota.com

Вариант от 9 августа 2020: 
Сообщение >>
Пост на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[encryptfile@protonmail.com][JU0W5VC7I43M9TX].Spade
Записка: Read-For-Decrypt.HTA
Email: encryptfile@protonmail.com, encryptfile@cock.li 
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32312
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.D96CE88E
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros
Rising -> Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wogk
TrendMicro -> CallTROJ_GEN.R002H0CHA20

---
➤ Содержание записки: 
Your Files Has Been Encrypted
All Your Files , Documents , photos , Databases and other important files are encrypted 
And have Extention .Spade 
If You Need Your Files You Have To Pay
You can Send 1 Little File Less Than 2MB for Test (The Test Files Should not be Databases Large Excel Sheets or Backups 
After 24 Hour Decryption Price Will be Doubled so You Better Contact us as soon as possible
Using Recovery Tools or 3rd Party Applications is useless you can try tough
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) 
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your ID :JU0W5VC7I43M9TX 
our Email :encryptfile@protonmail.com 
In Case Of No Answer :encryptfile@cock.li 


Вариант от 28 августа 2020:
Топик на форуме >>
Сообщение >>
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[rsaencrypt@tutanota.com][UTEO6F1MLDG30QH].Spade
Записка: Read-For-Decrypt.HTA
Email: rsaencrypt@tutanota.com, rsaencrypt@protonmail.ch


Вариант от 18 сентября 2020:
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[Wannadecryption@gmail.com][PSBW2FGV4CJ3YU1].Spade
Email: Wannadecryption@gmail.com
Файл: dwm.exe
Результаты анализов: VT + IA

Вариант от 18 сентября 2020:
Расширение: .Spade
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Spade
Составное расширение (пример): .[SpadeEncrypt@tutanota.com][2XPU94ACJRDM6IZ].Spade
Email: SpadeEncrypt@tutanota.com, SpadeEncrypt@protonmail.com

Вариант от 24 сентября:
Email: ftworksergey@gmail.com
deccoder431@protonmail.com
helpsdec@tutanota.com
---
Пострадавшие сообщили, что после уплаты выкупа, с этих адресов ведётся дополнительное вымогательство денег. Выдержка их переписки с вымогателями:
Пострадавший пользователь:
Мы оплатили, вы обещали скинуть код после оплаты первой части.
---
Ответ вымогателей: 
Да, подтверждаем. Нет проблем, и наш админ вам доверяет. 
Вы можете получить помощь от Google по выбору способа оплаты.
---
Снова ответ вымогателей: 
Мы не просили дополнительных денег. Один раз наш администратор вам доверял, а вы заплатили небольшую сумму. Чтобы вернуть доверие нашего администратора, вам придется заплатить остальную сумму, потому что мы вам больше не доверяем.


Вариант от 30 сентября 2020: 
Расширение: .nyan
Составное расширение (пример): .[decinfo7@gmail.com][5IBQ6JU4K7NPDS0].nyan
Email: decinfo7@gmail.com

Вариант от 7 октября 2020: 
Расширение: .pepe
Составное расширение (пример): .[decodevoid@gmail.com][TQFHAEMWJL2UV01].pepe
Записка: !INFO.HTA
Email: decodevoid@gmail.com, docodepepe@gmail.com
 Содержание записки: 
!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦ 
♦ there is no way to decrypt your files without paying and buying Decryption tool♦ 
♦ but after 48 hour decryption price will be double♦ 
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦Your ID :TQFHAEMWJL2U*** 
our Email :decodevoid@gmail.com 
In Case Of No Answer :docodepepe@gmail.com


Вариант от 8 октября 2020:
Расширение: .Encrypted
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Encrypted
Составное расширение (пример): .[EnceryptedFiles@tutanota.com][GY0ZUXN421RIA6D].Encrypted
Записка: !INFO.HTA
Email: EnceryptedFiles@tutanota.com, ReturnEncerypted@tutanota.com
 

➤ В записке теперь используются два онлайн-изображения:
https://www.kaspersky.com/content/en-global/images/repository/isc/2017-images/encryption.jpg
https://www.iconsdb.com/icons/preview/red/lock-xxl.png
➤ Содержание записки:
!!! Your Files Has Been Encrypted !!!♦ your files has been locked with highest secure cryptography algorithm ♦ 
♦ there is no way to decrypt your files without paying and buying Decryption tool♦ 
♦ but after 48 hour decryption price will be double♦ 
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦Your ID :GY0ZUXN421RIA6D 
our Email :EnceryptedFiles@tutanota.com 
In Case Of No Answer :ReturnEncerypted@tutanota.com


Вариант от 13 октября 2020:
Расширение: .ninja
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].ninja
Составное расширение (пример): .[dr8002dr@mailfence.com][EIPDQY84TM6X1V2].ninja
Записка: !INFO.HTA
Email: dr8002dr@mailfence.com

Вариант от 14 октября 2020:
Расширение: .lalaland
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].lalaland
Составное расширение (пример): .[recover10@tutanota.com][LIEP5WCT1JBDSVZ].lalaland
Записка: !INFO.HTA
Результаты анализов: VT + IA

Вариант от 17 октября 2020:
Расширение: .Peace
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Peace
Составное расширение (пример): .[peace491@tuta.io][U1OR08LYSBGXF3D].Peace
Записка: !INFO.HTA
Email: peace491@tuta.io
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32640
ALYac -> Trojan.Ransom.VoidCrypt
Avira (no cloud) -> TR/AD.OuroborosRansom.fkiqo
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.VoidCrypt

Вариант от 23 октября 2020:
Расширение: .Hidden
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].Hidden
Составное расширение (пример): .[Wannadecryption@gmail.com][J61FB5P23IKT***].Hidden
Email: Wannadecryption@gmail.com
Записка: !INFO.HTA
➤ Содержание записки: 
!!! Your Files Has Been Encrypted !!!
♦ your files has been locked with highest secure cryptography algorithm ♦
♦ there is no way to decrypt your files without paying and buying Decryption tool♦
♦ but after 48 hour decryption price will be double♦
♦ you can send some little files for decryption test♦
♦ test file should not contain valuable data♦
♦ after payment you will get decryption tool ( payment Should be with Bitcoin)♦
♦ so if you want your files dont be shy feel free to contact us and do an agreement on price♦
♦ !!! or Delete you files if you dont need them !!!♦
Your ID :J61FB5P23IKT***
our Email :Wannadecryption@gmail.com
In Case Of No Answer :Wannadecryption@gmail.com

Вариант от 28 октября 2020:
Расширение: .bitch
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].bitch
Составное расширение (пример): .[sleepme134@gmail.com][Z7G1J92VROQT***].bitch
Email: sleepme134@gmail.com

Вариант от 29 октября 2020:
Расширение: .exploit
Составное расширение (шаблон): .[email_ramsom][<ID{15}>].exploit
Составное расширение (пример): .[alix1011@mailfence.com][IGR4QWBC1HO2JNY].exploit
Записка: !INFO.HTA
Email: alix1011@mailfence.com
Результаты анализов: VT + IA


Вариант от 16 ноября 2020: 
Расширение: .honor
Составное расширение (пример): .[honorsafe@keemail.me][XXXXXXXXXXXXXXX]*.honor
Email: honorsafe@keemail.me, honorsafe@protonmail.ch
Под * - разные номера. 
Записки: !INFO.HTA, !INFO2.HTA


Вариант от 1 декабря 2020: 
Расширение: .help
Составное расширение (пример): .[galivertones@aol.com][XXXXXXXXXXXXXXX].help
Записка: !INFO.HTA
Результаты анализов: VT + IA

Вариант от 3 декабря 2020:
Расширение: .Void
Email: 666lilium666@gmail.com, gregoryluton021021@gmail.com
По сообщению пострадавшего, обманывают, не предоставляют дешифровку, хотят больше денег. 

Вариант от 7 декабря 2020:
Расширение: .Spade
Составное расширение (пример): .[lossdata@tutanota.com][1KUGSZMEY0JRP5T].Spade
Email: lossdata@tutanota.com

Вариант от 11 декабря 2020: 
Расширение: .mifr
Составное расширение (пример): .[Hiden_pro@aol.com][VAI08SP61LHCXZ9].mifr
Записка: !INFO.HTA
Email: Hiden_pro@aol.com, Hiden_pro@tutanota.com

Вариант от 13 декабря 2020:
Расширение: .Sophos
Составное расширение (пример): .[encryptadm@criptext.com][VAICXP61L8S5XY5].Sophos
Записка: !INFO.HTA
Email: encryptadm@criptext.com, decryptadm@criptext.com
Файл проекта: C:\Users\Legion\source\repos\curl\Release\curl.pdb
Файл: LOL.exe
Результаты анализов: VT + IA


=== 2021 ===

Вариант от 4 января 2021: 
Расширение: .hmmmmmmmm
Составное расширение (пример): .[Windows358@tuta.io][3MUPT6SILJF2QNK].hmmmmmmmm
Записка: !INFO.HTA
Email: Windows358@tuta.io, windows358@mailfence.com


Вариант от 6 января 2021:
Расширение: .heirloom
Записка: !INFO.HTA
Составное расширение (пример): .[rebkeilo@gmail.com][NZX1IC9GYJMSH6K].heirloom
Email: rebkeilo@gmail.com, decode.emf@tutanota.com


Вариант от 10 января 2021:
Расширение: .hmmmmm
Составное расширение (пример): .[Adm0251@tuta.io][P9TJVIU3MWAC2Y5].hmmmmm
Email: Adm0251@tuta.io, Aser51a0@protonmail.io
Записка: !INFO.HTA



Вариант от 22 января 2021:
Расширение: .Spade
.[whiopera@tutanota.com][UZ82E3JFASPT476].Spade
Записка: !INFO.HTA
Email: whiopera@tutanota.com, whiopera@aol.com 
➤ Содержание записки: 
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm 
 If You Need Your Files You Have To Pay Decryption Price 
 You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups 
 After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
 Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price 
The Steps You Should Do To Get Your Files Back: 
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) 
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :XXXXXXXXXXXXXXX 
 Our Email : whiopera@tutanota.com 
 In Case Of No Answer : whiopera@aol.com 


Вариант от 16 февраля 2021: 
Видимо вариант аналогичный предыдущему. Это подтверждает, что он продолжает распространяться. 
Расширение: .Spade
Составное расширение (пример): .[whiopera@tutanota.com][9E3NH7AGLM5T1BV].Spade
Email: whiopera@tutanota.com, whiopera@aol.com 
Записка: !INFO.HTA


Вариант от 25 февраля 2021:
Расширение: .Snoopdogg
Составное расширение (пример): .[Openfileyou@protonmail.com][MJ-MJ3902574681].Snoopdogg
Записка: Decrypt-me.txt
Email:Openfileyou@protonmail.com, Openfileyou@mailfence.com

Специальные файлы: idk.txt, pkey.txt, prvkey2.txt, prvkey2.txt.key, prvkey*.txt.key, prvkey3.txt.key
Файл: Openfileyou@protonmail.com.exe (добавляется в Автозагрузку)
Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33514
ALYac -> Trojan.Ransom.VoidCrypt
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.4685843F
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.G
Ikarus -> Trojan-Ransom.Ouroboros
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Trojan:Win32/Ymacco.AA16
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Swvd
TrendMicro -> TROJ_GEN.R002H09BP21


Вариант от 16 марта 2021:
Расширение: .Backup
Составное расширение (пример): .[unlockdata@criptext.com][MJ-XK8920513570].Backup
Записка: Decrypt-me.txt
Email: unlockdata@criptext.com, unlockdata@rape.lol




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as VoidCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 dnwls0719, Kangxiaopao
 Intezer Analyze
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

67 комментариев:

  1. hi everyone ! есть exe'шник вируса. может кто помочь с поиском дешифровальщика ?

    ОтветитьУдалить
    Ответы
    1. Поместите в архив с паролем "infected" и загрузите на https://dropmefiles.com
      Передайте полученную ссылку здесь же. Она не появится без модерации, так мы безопасно получим файл.

      Удалить
    2. вот https://dropmefiles.com/X96bK

      Удалить
    3. ОК. Забрал. Спасибо.

      Удалить
    4. Пусть ссылка пока будет активна.

      Удалить
    5. Добрый день. Нужна помощь. Ситуация аналогичная.
      вот ссылка https://dropmefiles.com/QKolO
      Там файл шифровальщик и один из зашифрованных файлов.
      Можете помочь?

      Удалить
  2. Привет всем!
    у меня весь комьютер заражен. можно ли какнибуть спасти иформацию :((((
    HELP :(

    ОтветитьУдалить
    Ответы
    1. См. выше раздел "Технические детали" со слов "Используется RSA-2048" ...

      Удалить
  3. Всем Привет.
    Вот exe файл с вирусом
    https://dropmefiles.com/yKnyW
    архив с паролем "infected"
    Буду благодарен за любую помощь

    ОтветитьУдалить
    Ответы
    1. Просьба перезалить!

      Удалить
    2. См. выше Обновление от 10-11 апреля 2020, Результаты анализов: VT + HA + IA + AR
      Это и есть образцы, после регистрации можно скачать с HA и AR.
      В exe-виде файлы не передаются. Антивирусные лаборатории могут получить образцы из любого из этих сервисов, если они там зарегистрированы на коммерческой основе.

      Удалить
  4. Привет еще раз, списался с вымогателями со почти voidcrypthelp@gmail.com, ответили с адреса decrpt@tutanota.com. Договорились о цене, оплатил им, а в ответ ни декриптора ни денег обратно. Кому интересно могу предоставить переписку. Платить в надежде что расшифрую файлы, бесполезно

    ОтветитьУдалить
    Ответы
    1. Нужно подождать и написать на оба адреса. Технакладки случаются везде. Если не ответят через несколько дней, присылайте переписку, скриншоты.

      Удалить
    2. RSA-ключ тоже не прислали?

      Удалить
    3. Суть в том что я переписываюсь, мне отвечают, договорились о цене, перед оплатой мне все подтвердили, мол да все ок платите, после оплаты сказали мол передумали, доплачивайте и мы Вам вышлем ключ. Естественно деньги не возвращают, как в таком случае можно им доверять, где уверенность что опять не кинут. Кому прислать переписку, могу даже оплату прислать, это все видно...

      Удалить
    4. pls send your case id here i will check and if you paid i will send you decryption key and ban that user from service

      Удалить
  5. RSA-ключ тоже не прислали...
    Переписку отправил Вам на почту, если не верите

    ОтветитьУдалить
  6. I do not recommend paying void ransomware or voidcrypt.

    My files was encrypted by void ransomware.

    After the conversation we had a deal. I've paid the price after agreement about the possibility of the payment, but they wrote that they was changed the idea and I need to pay the same price one more time. They don't give my money back and don't want to decryption my files. I can show all letters with them. His contact email DECRPToffice@gmail.com but i received answer from decrpt@tutanota.com

    ОтветитьУдалить
  7. Новый случай. Екатеринбург. Требуют 2000 долларов.
    ниже текст письма:
    Your files have been locked by our team . . You will have to pay $ 2,000 to reopen your files . . You have 48 hours to pay the requested amount. . . .If you do not pay during this period, your files will be locked forever . . Our account in Blockchain: 194Bhb2JsFo56uXtHJXcKL6Nnb2g9mreYf

    If you agree with the terms of the previous email ... The file you sent for testing is shortcut Send another file to decrypt

    Разрешение файла:
    .[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void



    Платить смысла не вижу. Шифровали, видимо, самостоятельно.
    Сеть простраивал другой айтишник. Имеем: фаил с данными учетной записи администратора сервера находился в общей папке (доступ на чтение-запись), далее на сервере была создана учетная запись "1 1." с логином входа в домене "123" - было несколько сообщении о том, что "123" пытается подключиться к удаленному рабочему столу, бла бла бла сбросить подключение? ок и отмена. Клиента перезагрузил комп. Под своей учеткой войти не мог, отключили WiFi вошли под локальным Администратором. На серевере отключили "1 1.", удалили учетку. на "ПК-жертве" файлы были зашифрованны. Папка пользователя "123" есть - в ней на рабочем столе файлы "encryptc4@elude.in" - винрар архив, "Moh.exe", "5-NS.exe" и "desktop.ini" - эти файлы, также, были зашифрованны. архив - поврежден и не открывается (повторюсь, файлы были зашифрованны - я просто удалил приставку ".[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void". В итоге имеем шифратор, но тоже зашифрованный. Платить никто не будет.

    ОтветитьУдалить
  8. Перед оплатой получил подтверждение что платите мы Вам все вышлем, после оплаты мол доплатите еще столько же и мы Вам выглем. В итоге ни денег ни ключа

    ОтветитьУдалить
  9. unknown
    we already asked your id to give your key 3 days ago but you didnt answered
    you didnt checked your email!!!
    as for
    step
    i need the id to check if the payment is done or not

    ОтветитьУдалить
  10. Это файл Decryptor.

    Link : https://ufile.io/sdeeeqp4

    ОтветитьУдалить
  11. РАБОЧИЙ КЛЮЧ, который фирме в итоге обошёлся в шестизначную сумму

    ------------RSA-KEY-----------
    MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDR0z43WH28Nr6a7P7fxr4z
    dHc9157srn2UzVgKE8RL6hx/3T+Jp+8L/La+yDoiKLkqLJdW2Ap/qMQkl6w6dKKxy1cDtgXU
    X2a79DZli2c74ZePJdzMHCeB41PdMjn9t+GQ9bWrbDkepNbaDCbZjE43VrPXpF2ZefZ0maKM
    t5+DpizxSIpPfilwcAgJfOkuY6tb0ugnpZJBtPbVKhh6vzErCfCUn9pAq9QoAq5t4GYckyk2
    GfPFCl/o0HGkX6FywG+E4a2quSVXLdn+ZE2P1UFEmEAp38+f3At8x2ebBeEf7RMXuRYJ4ovY
    cj/+19JMW58hl9j1gFYCL4BIJZUgko7LAgERAoIBAFyR5r4Qc7Tq+bzR9/lQJrxZB24bXLO2
    ZJR4teZUA8cjhQs79mJgrTn+jNuysDw/JIOMJKZQQN33odPoj79vsTBSLesMihnt2oAY6tJy
    NRLjhqEJLLRmxiK3HXgsvzs6iSldV62CkaujE35Qp7pUfNwtx9ATzvDi+8oHi3pRApv1sE0x
    ZXpAYFSxVlIOCmxKLgetifJilbl8xosFhZqhfuWy5XIDxpIk7dUE3s7d7WiD2o96bUcnFeTg
    ytEFJIgnQMTTsQfc0Cd9wrR1iSpvvqO7jWIKYDuO5Z3OJTZjeLSrc3KyrDrwXLAyJ7OhpNqp
    ap7X6OfIld65qBbw01Jwuz0CgYEA2RI1Hn8GoXfpWnBy2fWjetj6TI0zf1TAOScYrrAj0Yoz
    +W4fUsc6zv3r23z0uzCElmqF9G5sy+5QrX5JKFSkO3hfN8VwJkjWonKGSseoTkHr1vl/Buk2
    o0UfMMcYrldgyasmSCwuQ/NWWb1rkbBIeJAKs58vu44y1/o57IHLKWcCgYEA93RfMHcYz8EW
    2N8MXf8G+2BgUdtwe0iElT/AoVsLLu2Eu9/NTenqHUc+/Ar0od0F1pdtbgqrYlob1kxPFT7U
    S+f39bFUfJKxoFk5/xKnIMK/BpZrZg2DpAUqSOEt3OrDZeAO4RPXuhF3A7tTMVcbrFy00SbO
    Na5X1ffJyZ+lvP0CgYBmJq+V4WyIOG3QNOrA7BCyR/1RM2OHNvEL1im7ni75MfpXQuGQXcFS
    WV/u0WQb2pi/QS/6jlFQ6J5vwvVAJ9TQsR2/5HEC9Rm124p9iyIGtZwo7eFsqfuYIIcmA1bo
    oZb1fbepfjPjvc5IWSOP2nx0+H2BtFKynUUaV6LJpn25IQKBgQDaV59I4Y5c9aq/W2VD4QYp
    GM11Z0UhfDi/7PVDFBjtK+2WtmnbVeywbApl64yO0hQ10OgVzS3PQHLqQ1TWgrtSCOnYyaTm
    Y1FvXcnC8lc7BjAU3xN4Kgq95nCaqJHhC2Edp5SoeuuGD2kDSu8NavpMykUxBB9cisX5B9Aq
    X7BbdQKBgQCLV6UB0UxAzb0sE4A3EUGZrreSufHaaiVasa+W1CcIVB3ijtR29TYy4yMw+Pdf
    3pAl/rklJUq6yfQbBDgW3m5WYURkI7+4uglvhGeHKfCRRbLjkccJi6pos+zZTd9PmhfJLbYI
    JeCRr4WS2TM4RjZ/wwYCPHDG2TP1Y4ubp80eQQ==
    -------------------------------
    email: unl0ckerpkx@tutanota.com
    -------------------------------
    Id: ID-X2HDJZFSLM0TAO1
    -------------------------------

    А вдруг кому-то еще поможет...

    ОтветитьУдалить
  12. тоже взломали. есть 100% решение проблемы? или все из архивов восстанавливать

    ОтветитьУдалить
    Ответы
    1. Без RSA-ключей, которые есть у вымогателей, дешифровать не получится.

      Удалить
    2. они очень много просят. 2000$. как бы космос для меня. как с ними поторговаться? и какой % что не кинут.

      Удалить
  13. 100$ даже много, согласен, но никакой гарантии не дадут. Просите уменьшить цену, но и тогда не факт, что не потребуют всю сумму после части расшифрованных файлов.

    ОтветитьУдалить
  14. День добрый всем!
    Столкнулся с этой заразой, есть рабочие решения как победить эту беду?

    ОтветитьУдалить
  15. амиго а вы можете помочь? есть exe.

    ОтветитьУдалить
    Ответы
    1. Это не в моих силах. Вам лучше сразу в DrWeb с этим файлом и зашифрованными.
      https://legal.drweb.ru/encoder/?lng=ru

      Удалить
    2. Просьба залить данный исполняемый файл на любой файловый обменник, предварительно положив его в архив с паролем "infected"

      Удалить
  16. vot i menya poimali,
    USDATAdecrypt@gmail.com
    platit' nebubu.

    ОтветитьУдалить
  17. добрый день всем потерпевшим.
    вот как это случилось у меня.
    как раз закончилась лицензия касперского. оставлял комп включенным , чтобы работать по удаленке. 12 мая прийдя на работу комп работал, но заметил
    не давал открыть диспетчер задач, сразу понял что что-то творится не ладное, отключил от сети , проверил на изменения, во первых появился новый пользователь Foobar, отключились политики запрет диспетчера задач, затем в настройках папки встала галочка на непоказывать системные и скрытые папки(хотя я ее убирал), следующий шаг - все диски которые были в системе , даже которые без буквы , стали отображаться в проводнике как сетевые подключенные диски, далеее короче видимо стали шифроваться файлы, но я успел перезагрузить в безопасный режим и запустить утилиту курит дрвеб, но оказалось что почти все диски зашифровалгад, исключение последние два и то только папки которые не были скрыты.
    Так кто нашел дескриптор или дешифратор , поделитесь пожалуйста на ahms@mail.ru

    ОтветитьУдалить
    Ответы
    1. Оригинальный дешифровщик без закрытого RSA ключа бесполезен. Для шифрования используется алгоритм RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. Чужой ключ для файлов также не поможет, данные непостоянные.

      Удалить
    2. Только вот отправляет он не приватный RSA ключ на свой сервер, а публичный, вместе с ID и IP-адресом жертвы.
      Публичный ключ статичен, как и приватный, в отличии от ID жертвы.
      Файлы с ID и публичным ключом можно восстановить из папки "Program Data",они будут прямо в корне.
      Не надо путать людей.

      Удалить
  18. Зашифровали данные. Попробовал связаться и заплатить и меня кинули. НЕ ВЗДУМАЙТЕ ПЛАТИТЬ.... Это развод чистой воды. !!!!

    ОтветитьУдалить
  19. Кто то платил им? Прислали данные для расшифровки?

    ОтветитьУдалить
  20. беда столкнулся с этим, помогите

    ОтветитьУдалить
  21. Беда взломали доступ к серверу и закинули эту заразу помогите решить с расшифровкой?

    ОтветитьУдалить
  22. Этой ночью тоже по RDP сервер ломанули...
    Судя по всему дешифровальщик пока так и не нашли.

    ОтветитьУдалить
  23. Подхватили эту заразу, странно что после формата пользовальских машин с них продолжается подозрительная сетевая активность, службы lsas svhost ломяться на сервера(20-50 попыток в минуту) касперский тотал секурити на заражённых машинах убивает драйвера сетевой карты и юсб, в среднем после установки чистой системы пк начинает ломиться к сервакам через пол часа через всех пользователей, проверка касперским endpoint secure, total secure, avast, norton, comodo.

    ОтветитьУдалить
    Ответы
    1. Можете предоставить журнал RDP и список активных процессов и служб, а также листинг файлов и директорий в расположении %WINDIR% ?

      Удалить
  24. Добрый день!Также по RDP вчера все слегло, и сервер 1с и все документы, что делать?
    Дешифровальщик имеется ли у кого?

    ОтветитьУдалить
    Ответы
    1. Прочтите сообщения выше. Там есть ответы на все вопросы.

      Удалить
  25. взломали сервер по RDP... выкупили ключ... но что делать с этим ключом ?? за эту прогу запросили еще кучу денег... сам ключ прислали.. подскажите что за программа и где ее взять ?

    ОтветитьУдалить
  26. Взломали, зашифровали. Долго торговались с ними - в итоге заплатили... Прислали ключ и запросили еще в 2 раза больше за саму программу... Подскажите как нам с помощью этого ключа восстановить информацию ??

    ОтветитьУдалить
    Ответы
    1. Воспользуйтесь формой обратной связи, укажите свой email для ответа или напишите сразу на наш email, см. страницу "Контакт".

      Удалить
  27. Скажите пожалуйста , прислали декриптор и рса ключ - вставью данные, нажимаю старт и ничего не происходит

    ОтветитьУдалить
    Ответы
    1. Дешифратор, скорее всего, для 32-х разрядной версии. Используйте встроенное в Windows средство запуска в режиме совместимости.

      Удалить
    2. Декриптор работает и на 64х разрядных версиях. Вопрос состоит в том, пытались ли вы самостоятельно расшифровать свои файлы инструментами из интернета.

      Удалить
    3. Сколько заплатили ? Ведём переговоры

      Удалить
  28. Зашифровали. Мы заплатили, код не прислали , вымогают еще денег.
    Дошло до того что просят хотя бы 50 баксов, и уже понятно что код не пришлют. Утверждают о своей честности и порядочности )) а код не присылают.
    Переписку вели с адресами ftworksergey@gmail.com , deccoder431@protonmail.com , helpsdec@tutanota.com
    Будьте бдительны когда кидаетесь платить этим ребятам деньги!
    Есть вся переписка могу предоставить если кому интересно!

    ОтветитьУдалить
    Ответы
    1. Присылайте, опубликуем. Недавно кое-кто уверял, что расшифруют, если заплатили.

      Удалить
    2. Переписку присылать ? куда ?

      Удалить
    3. https://id-ransomware.blogspot.com/p/contact.html

      Удалить
  29. Сообщение что кто то заплатил и ему расшифровали ложь. Мы заплатили, но ни чего не получили.

    ОтветитьУдалить
    Ответы
    1. Вначале действительно расшифровывали, потом стали юлить и не присылать дешифратор. Теперь, вот как вам, ничего не прислали.

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
  30. Зашифровали компьютер. После дешифровки пробных файлов отправили сумму, но в ответ тишина. Переписка велась с адреса sleepme134@gmail.com

    ОтветитьУдалить
    Ответы
    1. Пришлите нам файлы (записки от вымогателей, заш-файлы), почта есть в контактах. Или воспользуйтесь сайтом https://dropmefiles.com

      Удалить
    2. Какой смысл вам присылать переписку? Где вы ее опубликовываете ? Я прислал переписку и что ? Кому нибудь сдесь помогли ?

      Удалить
  31. Подскажите, пожалуйста, есть ли рабочий дешифратор для.spade? Ключ и ID восстановлен

    ОтветитьУдалить
  32. Доброго дня!

    .[unlockdata@criptext.com][MJ-XK8920513476].Backup

    Указаны следующие почты:
    Our Email:unlockdata@criptext.com

    in Case of no Answer:unlockdata@rape.lol

    Существует ли дешифратор?

    Спасибо.

    ОтветитьУдалить
  33. Есть оригинальный дешифратор, но без приватного ключа RSA он ничего не расшифрует.

    ОтветитьУдалить
    Ответы
    1. Спасибо за ответ, вопрос уже неактуален, делайте бекапы, господа. )

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *