Problem

Problem Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателя, чтобы купить дешифровщик для файлов и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Problem

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .problem

В конце зашифрованного файла добавляется некий код.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Hello, all files has been encrypted.

Send your ID: 653123f601 to doyouhaveaproblem@cock.li and icansolveit@protonmail.com as fast as possible.

!IMPORTANT!

Don't try to restore files by yourself, because after it we cant guarantee that the decryptor will work correctly.

Also don't waste time making a decision. We don't keep decryption keys forever.

Waiting for your reply.

Перевод записки на русский язык:

Привет, все файлы были зашифрованы.

Отправьте свой ID: 653123f601 на doyouhaveaproblem@cock.li и icansolveit@protonmail.com поскорее.

!ВАЖНО!

Не пробуйте вернуть файлы сами, т.к. после этого мы не сможем гарантировать корректную работу дешифратора.

Также не тратьте время на принятие решения. Мы не храним ключи расшифровки вечно.

Жду твоего ответа.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: doyouhaveaproblem@cock.li, icansolveit@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EvilNominatus

EvilNominatus Ransomware

Aliases: EvilNominatusCrypto, RozbehCrypt, EvilCrypt, RozbehRevenge

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем сообщает, что файлы будут заражены после трёх попыток ввода неверного кода. Оригинальное название: EvilNominatus. На файле написано: EvilNominatus.exe или  EvilNominatusCrypto.exe.
---

Обнаружения:
DrWeb -> Trojan.EncoderNET.32
BitDefender -> Trojan.GenericKD.47864209
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Ransom:MSIL/RozbehCrypt.PA!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10cfb5ab
TrendMicro -> Ransom_RozbehCrypt.R002C0DLR21
---
Обнаружения:
DrWeb -> Trojan.Siggen16.37072
BitDefender -> IL:Trojan.MSILZilla.12204
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.C
Kaspersky -> Trojan.MSIL.Agent.qwilkc
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Trojan:MSIL/EvilCrypt.PAA!MTB
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Ebqp
TrendMicro -> TROJ_GEN.R03FC0DAN22
---

© Генеалогия: HiddenTear >> EvilNominatus

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образцы этого крипто-вымогателя были найдены в конце декабря и во второй половине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: -Locked

Записка без требований выкупа написана на экране блокировки: 

Содержание записки о выкупе:

CryptoVirus Detected!  Ransom.NominatusStrike

your files will get infected  if you enter the wrong code 3 times!!! you can contact the Attacker and ask him for the key by entering the code we leave you alone!!! theres no way to remove this virus without code! when you restart we will attack to your Computer we disabled exe files , task manager, run.exe, regedit!! if you still think you can recover your files from safe mode you are stupid! 

Перевод записки на русский язык:

Обнаружен КриптоВирус! Ransom.NominatusStrike

ваши файлы будут заражены, если вы введете неверный код 3 раза!!! вы можете написать Атакующему и попросить у него ключ, введя код мы оставляем вас в покое!!! нет способа удалить этот вирус без кода! при перезагрузке мы атакуем ваш компьютер, мы отключили exe-файлы, диспетчер задач, run.exe, regedit!! если вы еще думаете, что можете вернуть ваши файлы из безопасного режима, вы глупы!

Комбинированные скриншоты

На них видно экран блокировки и зашифрованные файлы. 

Нет никаких контактов для всязи, возвожно находится в разработке или сделан для умышленного причинения вреда без возможности восстановления файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки системы. 

➤ Добавляется в Автозагрузку. Отключает редактор реестра. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

EvilNominatus.exe - название вредоносного файла;

RozbehSkullofMask.exe - название раннего файла проекта; 

EvilNominatusCrypto.pdb - название нового файла проекта; 
EvilNominatusCrypto.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\RozbehSkullofMask.exe

C:\Users\hannan\Documents\SharpDevelop Projects\RInjector\TRS\obj\Debug\EvilNominatusCrypto.pdb

C:\Users\Admin\AppData\Local\Temp\EvilNominatusCrypto.exe

C:\Users\User\Desktop\NSIS.lnk-Locked

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Bkhtyaryrwzbh@gmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a07ad47b052c812a2c2da5b1787855f4

SHA-1: bafda67a9dd19795584ed8679d3a0e5b36d2432a

SHA-256: a0fb8417720da120c09f19ad62030bf1dc7f51b74326582f2f9d4488d426a800

Vhash: 224036551511109f9131020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8e23d84e5c58270136539c4cb3e604a4

SHA-1: 4cc242e1f24af73d2a3e38e4ad103df0ae62d93c

SHA-256: 01cec0306b25849804ac2770d877423d9f00adfae6217c72842630d18c048ba4

Vhash: 21403655151110969181020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 13 февраля 2022 >>

Сообщение: 

ransomware removed from your Computer but files still encrypted you can now contact attacker Bkhtyaryrwzbh@gmail.com to get the decrypter

Перевод: 

ransomware удален с вашего компьютера, но файлы еще зашифрованы, вы можете написать хакеру на Bkhtyaryrwzbh@gmail.com, чтобы получить расшифровщик

---

Результаты анализов: VT + VT

Обнаружения: 

DrWeb -> Trojan.Encoder.10598

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.E, A Variant Of MSIL/Filecoder.EvilNominatus.E

Rising -> Ransom.EvilNominatus!8.136A4 (CLOUD)

TrendMicro -> TROJ_FRS.0NA103BG22

Вариант от 4 мая 2022:

Самоназвание: Nominatus Ransomware 2

Сообщение >>

Расширение не добавляется. 

Записка: NominatusRansomware2Message.txt

Email: Bkhtyaryrwzbh@gmail.com

Discord: Nominatus#1297 

Файл проекта: RozbehRevenge.pdb

Файл EXE: RozbehRevenge.exe

Результаты анализов: VT + IA + TG

Обнаружения: 

DrWeb -> Trojan.EncoderNET.37

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.H

Malwarebytes -> Ransom.FileCryptor

Содержание записки: 

Files has been encrypted with Nominatus Ransomware 2 Contact Creator of this ransomware on discord Nominatus#1297 on discord or contact his email Bkhtyaryrwzbh@gmail.com for more Information

Вариант от 31 мая 2022: 

Самоназвание: RozbehOfSatan Ransomware

Доп. название: Quax0r Ransomware

Сообщение >>

Расширение: не используется

Метка: LOCKEDBYROZBEHOFSATAN

Записка о выкупе написана в командной строке. 

Содержание сообщения: 

All files have been encrypted by NominatusCrypto ( Quax0r ) contact the creator of this virus on discord Nominatus#9251 for more information if you restart then your account will be useless! files cannot be decrypted without paying the ransom to the creator!! live or die? 

Файл проекта: C:\Users\sd\Documents\SharpDevelop Projects\Quax0r\obj\Debug\Quax0r.pdb

Строка запуска: 

cmd.exe /c assoc .exe=RozbehOfSatanFile && assoc .bat=RozbehOfSatanFile && assoc .cmd=RozbehOfSatanFile

Файл: Quax0r.exe

Результаты анализа: VT + TG + IA

Вариант от 13 июня 2022: 

Доп. название: Triclyde Ransomware

Сообщение >>

Записка о выкупе: всплывающее окно. 

Файл: Triclyde.exe (WindowsScan.exe)

Результат анализа: VT 

Обнаружения: 

DrWeb -> Trojan.Encoder.35481

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARR

TrendMicro -> Ransom.MSIL.NOMINATUS.THFAEBB

Вариант от 23 июня 2022: 

Сообщение >>

Файл: RozbehOfSatan.exe

Результат анализа: VT

Обнаружения: 

DrWeb -> Trojan.EncoderNET.40

ESET-NOD32 -> MSIL/Filecoder.ASC

TrendMicro -> Ransom.MSIL.NOMINATUS.THFBDBB

---

Здесь и далее вводится упрощенный способ добавления новых вариантов — без ссылок. Это нужно чтобы уменьшить размер статьи и ускорить ввод информации. 

---

Вариант от 15 июля 2022: 

Сообщение: twitter.com/pcrisk/status/1548997471090708481

Расширение: нет

Доп. название: StormByte Ransomware

Записка: на экране

Файл EXE: StormByte.exe

IOC: VT: MD: 22a975eb038011095e8b9ff9a3078ffa

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Karsten Hahn
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Night Sky

NightSky Ransomware

Night Sky Ransomware

NightSky Hand-Ransomware

NightSky Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные взломанных компьютеров компаний с помощью алгоритма AES-128 (режим CBC с жёстко заданным IV), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Night Sky. На файле написано: update.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34862

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.NightSky.A

BitDefender -> Trojan.GenericKD.47837092
ESET-NOD32 -> Win64/Filecoder.EQ
Kaspersky -> Trojan-Ransom.Win32.Encoder.pcn
Malwarebytes -> Ransom.NightSky
Microsoft -> Ransom:Win64/NightSky.A!MTB
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Ransom.Nightsky
Tencent -> Win32.Trojan.Trojan.Mblu
TrendMicro -> Ransom.Win64.NIGHTSKY.YXCAGZ
---

© Генеалогия: ✂ Rook >> Night Sky

Сайт "ID Ransomware" идентифицирует это как NightSky. 

Информация для идентификации

Активность этого крипто-вымогателя началась в конце декабря 2021 - начале января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .nightsky

Записка с требованием выкупа называется: NightSkyReadMe.hta

Содержание записки о выкупе:

NIGHT SKY

--------------------------------------------------------------------------------

WARNING!

Your company has been hacked by us.

Internal files have been stolen and encrypted by us.

But don't worry, we didn't destroy them, and we won't leak data right away.

If your company is willing to meet our requirements,

we will decrypt the data and destroy the stolen data without data leakage.

--------------------------------------------------------------------------------

Steal list 

All files in the file server  297GB 

ERP System Database and file  513GB(Include ARL,AAL,AVL,AIL,AKIJ domain) 

Mail server data(Include emails of all company directors within two years)  47GB 

Gitlab code base  2.7GB 

business system databases(Including company and customer data)  45GB 

All website Cpanel database backup    107GB 

Personal computer desktop file(210,000 office documents within one year)  62GB 

All employee resumes 

--------------------------------------------------------------------------------

Notice 

Do not contact third party to restore the file, the file cann't be decrypted without the key.The third party only contact us to buy the key at a lower price to earn the difference 

--------------------------------------------------------------------------------

Our condition 

Contact us within a week to get a price 

We may reconsider our price if you contact and pay within 3 days 

We will deactivate the communication account after a week,then no one can contact us anymore 

--------------------------------------------------------------------------------

Contact information 

Web Chat: 

You can use the username and password provided by us to login to the chat room to communicate with us.

URL:hxxxs://contact.nightsky.cyou

username:user-****---

Email: 

You can contact us by email.

EMAIL ADDRESS:***@nightsky.cyou

--------------------------------------------------------------------------------

Data release website 

Where we use to disclose the data of customers who do not pay 

hxxx://gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion 

--------------------------------------------------------------------------------

Remark 

How to access dark web sites:hxxxs://www.youtube.com/watch?v=NpXEQHDOA5o 

Перевод записки на русский язык:

NIGHT SKY

ПРЕДУПРЕЖДЕНИЕ!

Мы взломали вашу компанию.

Внутренние файлы украдены и зашифрованы нами.

Но не волнуйтесь, мы не уничтожили их, и не будем сразу же сливать данные.

Если ваша компания готова соответствовать нашим требованиям,

мы расшифруем данные и уничтожим украденные данные без слива данных.

Список украденного

Все файлы на файловом сервере 297GB

База данных системы ERP и файл 513 ГБ (включая домены ARL, AAL, AVL, AIL, AKIJ)

Данные почтового сервера (включая email-адреса всех директоров компании за два года) 47 ГБ

Кодовая база Gitlab 2,7 ГБ

базы данных бизнес-системы (включая данные компании и клиентов) 45 ГБ

Бэкап всей базы данных Cpanel сайта 107GB

Файл рабочего стола персонального компьютера (210 000 офисных документов в течение года) 62 ГБ

Все резюме сотрудников

Уведомление

• Не связывайтесь с третьей стороной для восстановления файла, файл не может быть расшифрован без ключа. Третья сторона связывается с нами только для того, чтобы купить ключ по более низкой цене, чтобы заработать на разнице.

Наше условие

• Свяжитесь с нами в течение недели, чтобы узнать цену

• Мы можем пересмотреть нашу цену, если вы свяжетесь и оплатите в течение 3 дней.

• Мы деактивируем учетную запись для связи через неделю, и никто больше не сможет с нами связаться.

Контакты

• Веб-чат: 

Вы можете использовать предоставленные нами имя пользователя и пароль, чтобы войти в чат и общаться с нами.

Email:

Вы можете связаться с нами по электронной почте.

EMAIL-АДРЕС: ***

Сайт публикации данных

• Его мы используем для раскрытия данных клиентов, которые не платят

***

• Замечание

• Как получить доступ к дарквеб-сайтам: ***

Скриншот начальной страницы сайта вымогателей:

Первые утечки (скриншоты уменьшены):

 

 

 

Для связи с пострадавшими вымогатели используют ПО Rocket.Chat. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Все файлы, кто тех, что находятся в списках исключений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые файлы:

.dll, .exe

Пропускаемые папки:

AppData

Boot

Windows

Windows.old

Tor Browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

Program Files

Program Files (x86)

#recycle

Файлы, связанные с этим Ransomware:
NightSkyReadMe.hta - название файла с требованием выкупа;
update.exe (update.txt) - название вредоносного файла; 

8c1a72991fb04dc3a8cf89605fb85150ef0e742472a0c58b8fa942a1f04877b0.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://contact.nightsky.cyou

Tor-URL: hxxx://gg5ryfgogainisskdvh4y373ap3b2mxafcibeh2lvq5x7fx76ygcosad.onion 

Rocket.Chat: hxxxs://rocket.chat/***

Email: <victim_name>@nightsky.cyou

См. ниже в обновлениях другие адреса и контакты. 

Сайт вымогателей недоступен для обзора. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9608c8b6c8d80fdc67b99edd3c53d3d2

SHA-1: 37b11d3d7b7a1d18daafd6c63b33526860aaefe6

SHA-256: 8c1a72991fb04dc3a8cf89605fb85150ef0e742472a0c58b8fa942a1f04877b0

Vhash: 0560a6050d0505060d177019z1hz13z1fz

Imphash: d9335d46ba7ec00ed7f9cc1bc2720cc8

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f9481915373852640150ffe98e7218ab

SHA-1: 682fa27b596bab8fc5b7f2a0c002447e6e2f1f6b

SHA-256: 1fca1cd04992e0fcaa714d9dfa97323d81d7e3d43a024ec37d1c7a2767a17577

Vhash: 0960b6655d1575167d177019z12z1cz13z1fz

Imphash: 385281fb8c3ae6c79cc58d91e9de2e21

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rook Ransomware - ноябрь 2021

NightSky Ransomware - январь 2022

Pandora Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 Added later: Write-up

Added later: NightSky Ransomware – just a Rook RW fork

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 Jiří Vinopal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.