пятница, 10 апреля 2020 г.

Void, VoidCrypt

VoidCrypt Ransomware

Aliases: Void, Chaos

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Void, Chaos, но в записке не указано. На файле написано: void или что-то еще. Использует библиотеку Crypto++. 

Обнаружения:
DrWeb -> Trojan.Siggen9.36699, Trojan.Encoder.31534ALYac -> Trojan.Ransom.Filecoder
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Ouroboros
Avast/AVG ->Win32:RansomX-gen [Ransom]
Avira (no cloud) ->TR/FileCoder.zdeun
BitDefender -> Gen:Heur.Ransom.Imps.1, DeepScan:Generic.Ransom.AmnesiaE.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.E
Malwarebytes -> Ransom.Ouroboros
McAfee -> Ransomware-GYP!BA454585B9F4
Microsoft -> Trojan:Win32/Ashify.J!rfn, Ransom:Win32/Ouroboros.GG!MTB
Rising -> Ransom.Gen!8.DE83 (CLOUD), Ransom.Agent!1.C4E7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Downloader
Tencent -> Win32.Trojan.Gen.Pfsv, Win32.Trojan.Gen.Htwa
TrendMicro -> TROJ_GEN.R002H09DB20, Ransom.Win32.OUROBOROS.AE, Ransom.Win32.OUROBOROS.B
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Ouroboros ✂ Void, VoidCrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Void

Фактически используется составное расширение по шаблону:
.[<email_ramsom>][ID-<ID{15}>].Void

Примеры зашифрованных файлов:
file001.tif.[USDATAdecrypt@gmail.com][ID-PDTN4Z29J67Q***].Void
file001.doc.[xtredboy@protonmail.com][ID-EJHPFWKYCNQ5***].Void
file001.jpg.[stevenxx134@gmail.com][ID-9WFL61BO03TSIC7].Void

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие из России, Польши и других стран. 

Записка с требованием выкупа называется: Decryption-Info.HTA

Содержание записки о выкупе:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm
If You Need Your Files You Have To Pay Decryption Price
You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups
After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price
The Steps You Should Do To Get Your Files Back:
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!)
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :EJHPFWKYCNQ5***
Our Email : xtredboy@protonmail.com
In Case Of No Answer : Encryptedxtredboy@protonmail.com

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваши файлы были зашифрованы с алгоритмом AES + RSA
Если вам нужны ваши файлы, вы должны оплатить стоимость расшифровки
Вы можете отправить несколько маленьких файлов менее 1 МБ для теста (тест-файлы не должны содержать ценные данные, такие как базы данных, большие листы Excel или резервные копии)
После 48 часов цена расшифровки удвоится, так что вам лучше связаться с нами, прежде чем время выйдет
Использование инструментов восстановления или сторонних приложений может привести к повреждению ваших файлов и повышению цены
Шаги, которые вы должны сделать, чтобы вернуть ваши файлы:
1- Контакт по email на файлы и отправить ID на файлы, а затем сделать соглашение о цене
2. Отправьте несколько файлов для тест-расшифровки (не платите никому, кто не может расшифровать ваши тест-файлы!)
После получения тест-файлов заплатите цену в биткойнах и получите инструмент дешифрования + ключ RSA
ID вашего дела: EJHPFWKYCNQ5***
Наш email: xtredboy@protonmail.com
В случае отсутствия ответа: Encryptedxtredboy@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует легитимные утилиты Everything и Process Hacker 2.

➤ Согласно отчетам Intezer Analyze есть определенное родство с другими проектами программ-вымогателей
, например, с Ouroboros. 
 
Слева скриншот "генов" шифровальщика, а справа — "гены" оригинального дешифровщика. Это может говорить о том, что разработчик VoidCrypt использовал часть разработки из предыдущих проектов. 

➤ Оригинальный дешифровщик без закрытого RSA ключа бесполезен. 
➤ Используется RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. 

➤ Скриншоты кода:

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, запускает команды по сети, завершает работу серверных служб, управляющих база данных, отключает файервол и прочее:
 stevenxx134@gmail.com.exe
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLWriter
 net.exe net stop SQLWriter (PID: 3708)  
 net1.exe %WINDIR%\system32\net1 stop SQLWriter
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLBrowser
 net.exe net stop SQLBrowser
 net1.exe %WINDIR%\system32\net1 stop SQLBrowser
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
 net.exe net stop MSSQLSERVER
 net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQL$CONTOSO1
 net.exe net stop MSSQL$CONTOSO1
 net1.exe %WINDIR%\system32\net1 stop MSSQL$CONTOSO1
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSDTC
 net.exe net stop MSDTC
 net1.exe %WINDIR%\system32\net1 stop MSDTC
 cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe %WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled no
 cmd.exe %WINDIR%\system32\cmd.exe /c wbadmin delete catalog -quiet
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop SQLSERVERAGENT
 net.exe net stop SQLSERVERAGENT
 net1.exe %WINDIR%\system32\net1 stop SQLSERVERAGENT
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop MSSQLSERVER
 net.exe net stop MSSQLSERVER
 net1.exe %WINDIR%\system32\net1 stop MSSQLSERVER
 cmd.exe %WINDIR%\system32\cmd.exe /c net stop vds
 net.exe net stop vds
 net1.exe %WINDIR%\system32\net1 stop vds
 cmd.exe %WINDIR%\system32\cmd.exe /c netsh advfirewall set currentprofile state off
 netsh.exe netsh advfirewall set currentprofile state off
 cmd.exe %WINDIR%\system32\cmd.exe /c netsh firewall set opmode mode=disable
 netsh.exe netsh firewall set opmode mode=disable

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decryption-Info.HTA - название файла с требованием выкупа
IDo.txt
pubkey.txt
<random>.exe - случайное название вредоносного файла
stevenxx134@gmail.com.exe - файл из примера, представленного в анализе. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\IDo.txt
C:\ProgramData\pubkey.txt
D:\yo\chaos\Release\chaos.pdb 

Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: xtredboy@protonmail.com, Encryptedxtredboy@protonmail.com
Email-2: USDATAdecrypt@gmail.com
Email-3: stevenxx134@gmail.com
Email-4: steven77xx@mail.ru, Steven77xx@protonmail.com
URL изображения замка (VT-проверка): xxxxs://i.ibb.co/2PXVhhm/1.png



См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
🔻 Triage analysiss >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.






=== ДЕШИФРОВЩИК === DECRYPTOR/DECODER ===



Наличие оригинального дешифровщика не обеспечивает расшифровку файлов, т.к. требуется RSA-ключ, который есть только у вымогателей. 

Если файлы очень нужны, рекомендуем попытаться договориться с вымогателями о снижении суммы выкупа. 
Если никто не отвечает с email-адресов, указанного в записке с требованием выкупа, отправьте им еще одно письмо. 




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Zeropadypt Ransomware - с апреля 2019
Ouroboros Ransomware (разные версии) - июнь-октябрь 2019
Ouroboros Ransomware v6 - октябрь-декабрь 2019
Ouroboros Ransomware v7 - с января 2020
VoidCrypt (Void, Chaos) Ransomware - с апреля 2020





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10-11 апреля 2020:
Расширение: .Void
Пример составного расширения: .[DECRPToffice@gmail.com][ID-YOP64ULC0ZNK2BH].Void
Email: DECRPToffice@gmail.com, DECRPT@tutanota.com
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: DECRPToffice@gmail.com.exe
Результаты анализов: VT + HA + IA + AR

Обновление от 14 апреля 2020:
Пост на форуме >>
Расширение: .void
Записка: Decryption-Info.HTA
Email: SupportVoid@elude.in, SoporteVoid@tutanota.com

Обновление от 27 апреля 2020:
Записка: Decryption-Info.HTA
Email: unl0ckerpkx@tutanota.com

Обновление от 2 мая 2020:
Пост в Твиттере >>
Записка: Decryption-Info.HTA
Email: BrillianceBK@protonmail.com
LizardBkup@protonmail.com



Обновление от 5 мая 2020:
Пост на форуме >>
Расширение: .Void
Пример составного расширения: .[Elmershawn@aol.com][ID-YPRVMKTQ3ABOHUC].Void
Elmershawn@aol.com
Записка: Decryption-Info.HTA
Email: Elmershawn@aol.com

Обновление от 1-11 июня 2020:
Расширение: .Void
Пример составного расширения: .[decoderma@tutanota.com][ID-VKSQ8N24CPZTU1O].VoidЗаписка: Decryption-Info.HTA
Email: decoderma@tutanota.com, decoderma@protonmail.com 
Специальные файлы: IDo.txt, pubkey.txt
Файл EXE: decoderma@tutanota.com.exe
Результаты анализов: VT + HA + IA + AR + TG
➤ Содержание записки:
Your Files has Been Encrypted
Your Files Has Been Encrypted with AES + RSA Algorithm 
 If You Need Your Files You Have To Pay Decryption Price 
 You can Send Some Little Files Less Than 1MB for Test (The Test Files Should not Contain valuable Data Like Databases Large Excel Sheets or Backups 
 After 48 Hour Decryption Price Will be Doubled so You Better Contact us Before Times Up
 Using Recovery Tools or 3rd Party Application May cause Damage To Your Files And increase price 
The Steps You Should Do To Get Your Files Back: 
1- Contact Email on Files And Send ID on The Files Then Do agreement on a Price
2- Send Some Files for Decryption Test ( Dont Pay to Anyone Else who is Not Able to Decrypt Your Test Files!) 
After Geting Test Files Pay The price in Bitcoin And Get Decryption Tool + RSA key
Your Case ID :N0GXF7YZ31L4***
Our Email : decoderma@tutanota.com 
In Case Of No Answer : decoderma@protonmail.com 



Обновление от 7 июля 2020:
Пост в Твиттере >>
Расширение: .Void
Пример составного расширения: .[coronavirus19@tutanota.com][ID-<id>].Void
Записка: Decryption-Info.HTA
Email: coronavirus19@tutanota.com, ghostmax@cock.li 
Результаты анализов: VT + HA + IA






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as VoidCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

40 комментариев:

  1. hi everyone ! есть exe'шник вируса. может кто помочь с поиском дешифровальщика ?

    ОтветитьУдалить
    Ответы
    1. Поместите в архив с паролем "infected" и загрузите на https://dropmefiles.com
      Передайте полученную ссылку здесь же. Она не появится без модерации, так мы безопасно получим файл.

      Удалить
    2. вот https://dropmefiles.com/X96bK

      Удалить
    3. ОК. Забрал. Спасибо.

      Удалить
    4. Пусть ссылка пока будет активна.

      Удалить
    5. Добрый день. Нужна помощь. Ситуация аналогичная.
      вот ссылка https://dropmefiles.com/QKolO
      Там файл шифровальщик и один из зашифрованных файлов.
      Можете помочь?

      Удалить
  2. Привет всем!
    у меня весь комьютер заражен. можно ли какнибуть спасти иформацию :((((
    HELP :(

    ОтветитьУдалить
    Ответы
    1. См. выше раздел "Технические детали" со слов "Используется RSA-2048" ...

      Удалить
  3. Всем Привет.
    Вот exe файл с вирусом
    https://dropmefiles.com/yKnyW
    архив с паролем "infected"
    Буду благодарен за любую помощь

    ОтветитьУдалить
  4. Привет еще раз, списался с вымогателями со почти voidcrypthelp@gmail.com, ответили с адреса decrpt@tutanota.com. Договорились о цене, оплатил им, а в ответ ни декриптора ни денег обратно. Кому интересно могу предоставить переписку. Платить в надежде что расшифрую файлы, бесполезно

    ОтветитьУдалить
    Ответы
    1. Нужно подождать и написать на оба адреса. Технакладки случаются везде. Если не ответят через несколько дней, присылайте переписку, скриншоты.

      Удалить
    2. RSA-ключ тоже не прислали?

      Удалить
    3. Суть в том что я переписываюсь, мне отвечают, договорились о цене, перед оплатой мне все подтвердили, мол да все ок платите, после оплаты сказали мол передумали, доплачивайте и мы Вам вышлем ключ. Естественно деньги не возвращают, как в таком случае можно им доверять, где уверенность что опять не кинут. Кому прислать переписку, могу даже оплату прислать, это все видно...

      Удалить
    4. pls send your case id here i will check and if you paid i will send you decryption key and ban that user from service

      Удалить
  5. RSA-ключ тоже не прислали...
    Переписку отправил Вам на почту, если не верите

    ОтветитьУдалить
  6. I do not recommend paying void ransomware or voidcrypt.

    My files was encrypted by void ransomware.

    After the conversation we had a deal. I've paid the price after agreement about the possibility of the payment, but they wrote that they was changed the idea and I need to pay the same price one more time. They don't give my money back and don't want to decryption my files. I can show all letters with them. His contact email DECRPToffice@gmail.com but i received answer from decrpt@tutanota.com

    ОтветитьУдалить
  7. Новый случай. Екатеринбург. Требуют 2000 долларов.
    ниже текст письма:
    Your files have been locked by our team . . You will have to pay $ 2,000 to reopen your files . . You have 48 hours to pay the requested amount. . . .If you do not pay during this period, your files will be locked forever . . Our account in Blockchain: 194Bhb2JsFo56uXtHJXcKL6Nnb2g9mreYf

    If you agree with the terms of the previous email ... The file you sent for testing is shortcut Send another file to decrypt

    Разрешение файла:
    .[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void



    Платить смысла не вижу. Шифровали, видимо, самостоятельно.
    Сеть простраивал другой айтишник. Имеем: фаил с данными учетной записи администратора сервера находился в общей папке (доступ на чтение-запись), далее на сервере была создана учетная запись "1 1." с логином входа в домене "123" - было несколько сообщении о том, что "123" пытается подключиться к удаленному рабочему столу, бла бла бла сбросить подключение? ок и отмена. Клиента перезагрузил комп. Под своей учеткой войти не мог, отключили WiFi вошли под локальным Администратором. На серевере отключили "1 1.", удалили учетку. на "ПК-жертве" файлы были зашифрованны. Папка пользователя "123" есть - в ней на рабочем столе файлы "encryptc4@elude.in" - винрар архив, "Moh.exe", "5-NS.exe" и "desktop.ini" - эти файлы, также, были зашифрованны. архив - поврежден и не открывается (повторюсь, файлы были зашифрованны - я просто удалил приставку ".[encryptc4@elude.in][ID-KCLUBDSYPV6J9XW].Void". В итоге имеем шифратор, но тоже зашифрованный. Платить никто не будет.

    ОтветитьУдалить
  8. Перед оплатой получил подтверждение что платите мы Вам все вышлем, после оплаты мол доплатите еще столько же и мы Вам выглем. В итоге ни денег ни ключа

    ОтветитьУдалить
  9. unknown
    we already asked your id to give your key 3 days ago but you didnt answered
    you didnt checked your email!!!
    as for
    step
    i need the id to check if the payment is done or not

    ОтветитьУдалить
  10. Это файл Decryptor.

    Link : https://ufile.io/sdeeeqp4

    ОтветитьУдалить
  11. РАБОЧИЙ КЛЮЧ, который фирме в итоге обошёлся в шестизначную сумму

    ------------RSA-KEY-----------
    MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDR0z43WH28Nr6a7P7fxr4z
    dHc9157srn2UzVgKE8RL6hx/3T+Jp+8L/La+yDoiKLkqLJdW2Ap/qMQkl6w6dKKxy1cDtgXU
    X2a79DZli2c74ZePJdzMHCeB41PdMjn9t+GQ9bWrbDkepNbaDCbZjE43VrPXpF2ZefZ0maKM
    t5+DpizxSIpPfilwcAgJfOkuY6tb0ugnpZJBtPbVKhh6vzErCfCUn9pAq9QoAq5t4GYckyk2
    GfPFCl/o0HGkX6FywG+E4a2quSVXLdn+ZE2P1UFEmEAp38+f3At8x2ebBeEf7RMXuRYJ4ovY
    cj/+19JMW58hl9j1gFYCL4BIJZUgko7LAgERAoIBAFyR5r4Qc7Tq+bzR9/lQJrxZB24bXLO2
    ZJR4teZUA8cjhQs79mJgrTn+jNuysDw/JIOMJKZQQN33odPoj79vsTBSLesMihnt2oAY6tJy
    NRLjhqEJLLRmxiK3HXgsvzs6iSldV62CkaujE35Qp7pUfNwtx9ATzvDi+8oHi3pRApv1sE0x
    ZXpAYFSxVlIOCmxKLgetifJilbl8xosFhZqhfuWy5XIDxpIk7dUE3s7d7WiD2o96bUcnFeTg
    ytEFJIgnQMTTsQfc0Cd9wrR1iSpvvqO7jWIKYDuO5Z3OJTZjeLSrc3KyrDrwXLAyJ7OhpNqp
    ap7X6OfIld65qBbw01Jwuz0CgYEA2RI1Hn8GoXfpWnBy2fWjetj6TI0zf1TAOScYrrAj0Yoz
    +W4fUsc6zv3r23z0uzCElmqF9G5sy+5QrX5JKFSkO3hfN8VwJkjWonKGSseoTkHr1vl/Buk2
    o0UfMMcYrldgyasmSCwuQ/NWWb1rkbBIeJAKs58vu44y1/o57IHLKWcCgYEA93RfMHcYz8EW
    2N8MXf8G+2BgUdtwe0iElT/AoVsLLu2Eu9/NTenqHUc+/Ar0od0F1pdtbgqrYlob1kxPFT7U
    S+f39bFUfJKxoFk5/xKnIMK/BpZrZg2DpAUqSOEt3OrDZeAO4RPXuhF3A7tTMVcbrFy00SbO
    Na5X1ffJyZ+lvP0CgYBmJq+V4WyIOG3QNOrA7BCyR/1RM2OHNvEL1im7ni75MfpXQuGQXcFS
    WV/u0WQb2pi/QS/6jlFQ6J5vwvVAJ9TQsR2/5HEC9Rm124p9iyIGtZwo7eFsqfuYIIcmA1bo
    oZb1fbepfjPjvc5IWSOP2nx0+H2BtFKynUUaV6LJpn25IQKBgQDaV59I4Y5c9aq/W2VD4QYp
    GM11Z0UhfDi/7PVDFBjtK+2WtmnbVeywbApl64yO0hQ10OgVzS3PQHLqQ1TWgrtSCOnYyaTm
    Y1FvXcnC8lc7BjAU3xN4Kgq95nCaqJHhC2Edp5SoeuuGD2kDSu8NavpMykUxBB9cisX5B9Aq
    X7BbdQKBgQCLV6UB0UxAzb0sE4A3EUGZrreSufHaaiVasa+W1CcIVB3ijtR29TYy4yMw+Pdf
    3pAl/rklJUq6yfQbBDgW3m5WYURkI7+4uglvhGeHKfCRRbLjkccJi6pos+zZTd9PmhfJLbYI
    JeCRr4WS2TM4RjZ/wwYCPHDG2TP1Y4ubp80eQQ==
    -------------------------------
    email: unl0ckerpkx@tutanota.com
    -------------------------------
    Id: ID-X2HDJZFSLM0TAO1
    -------------------------------

    А вдруг кому-то еще поможет...

    ОтветитьУдалить
  12. тоже взломали. есть 100% решение проблемы? или все из архивов восстанавливать

    ОтветитьУдалить
    Ответы
    1. Без RSA-ключей, которые есть у вымогателей, дешифровать не получится.

      Удалить
    2. они очень много просят. 2000$. как бы космос для меня. как с ними поторговаться? и какой % что не кинут.

      Удалить
  13. 100$ даже много, согласен, но никакой гарантии не дадут. Просите уменьшить цену, но и тогда не факт, что не потребуют всю сумму после части расшифрованных файлов.

    ОтветитьУдалить
  14. День добрый всем!
    Столкнулся с этой заразой, есть рабочие решения как победить эту беду?

    ОтветитьУдалить
  15. амиго а вы можете помочь? есть exe.

    ОтветитьУдалить
    Ответы
    1. Это не в моих силах. Вам лучше сразу в DrWeb с этим файлом и зашифрованными.
      https://legal.drweb.ru/encoder/?lng=ru

      Удалить
  16. vot i menya poimali,
    USDATAdecrypt@gmail.com
    platit' nebubu.

    ОтветитьУдалить
  17. добрый день всем потерпевшим.
    вот как это случилось у меня.
    как раз закончилась лицензия касперского. оставлял комп включенным , чтобы работать по удаленке. 12 мая прийдя на работу комп работал, но заметил
    не давал открыть диспетчер задач, сразу понял что что-то творится не ладное, отключил от сети , проверил на изменения, во первых появился новый пользователь Foobar, отключились политики запрет диспетчера задач, затем в настройках папки встала галочка на непоказывать системные и скрытые папки(хотя я ее убирал), следующий шаг - все диски которые были в системе , даже которые без буквы , стали отображаться в проводнике как сетевые подключенные диски, далеее короче видимо стали шифроваться файлы, но я успел перезагрузить в безопасный режим и запустить утилиту курит дрвеб, но оказалось что почти все диски зашифровалгад, исключение последние два и то только папки которые не были скрыты.
    Так кто нашел дескриптор или дешифратор , поделитесь пожалуйста на ahms@mail.ru

    ОтветитьУдалить
    Ответы
    1. Оригинальный дешифровщик без закрытого RSA ключа бесполезен. Для шифрования используется алгоритм RSA-2048, потому взломать ключ не получится. Вредонос отправляет ключ на свой сервер, если пострадавшие фиксировали сетевой трафик во время заражения, то ключ может быть перехвачен. Если трафик не фиксировался, то закрытый ключ RSA не получить. Чужой ключ для файлов также не поможет, данные непостоянные.

      Удалить
  18. Зашифровали данные. Попробовал связаться и заплатить и меня кинули. НЕ ВЗДУМАЙТЕ ПЛАТИТЬ.... Это развод чистой воды. !!!!

    ОтветитьУдалить
  19. Кто то платил им? Прислали данные для расшифровки?

    ОтветитьУдалить
  20. беда столкнулся с этим, помогите

    ОтветитьУдалить
  21. Беда взломали доступ к серверу и закинули эту заразу помогите решить с расшифровкой?

    ОтветитьУдалить
  22. Этой ночью тоже по RDP сервер ломанули...
    Судя по всему дешифровальщик пока так и не нашли.

    ОтветитьУдалить
  23. Подхватили эту заразу, странно что после формата пользовальских машин с них продолжается подозрительная сетевая активность, службы lsas svhost ломяться на сервера(20-50 попыток в минуту) касперский тотал секурити на заражённых машинах убивает драйвера сетевой карты и юсб, в среднем после установки чистой системы пк начинает ломиться к сервакам через пол часа через всех пользователей, проверка касперским endpoint secure, total secure, avast, norton, comodo.

    ОтветитьУдалить
  24. Добрый день!Также по RDP вчера все слегло, и сервер 1с и все документы, что делать?
    Дешифровальщик имеется ли у кого?

    ОтветитьУдалить
    Ответы
    1. Прочтите сообщения выше. Там есть ответы на все вопросы.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *