Если вы не видите здесь изображений, то используйте VPN.

четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware 

(семейство шифровальщиков-вымогателей, все итерации, RaaS)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) или DES + RSA, а затем требует выкуп, чтобы вернуть файлы. При запуске троянец генерирует 256-битный ключ дешифрования AES, который вместе со случайными байтами шифруется алгоритмом RSA-1024 и сохраняется в конце зашифрованного файла, при этом открытый ключ злоумышленника содержится в теле троянца. Crysis / Dharma написан на C / C ++ и скомпилирован в MS Visual Studio. Название оригинальное, использует ранее известное индийское слово и понятие "Dharma". За распространением Dharma Ransomware стоят кибер-группировки из Украины, которые могут действовать и из других стран.  

  Пострадавшие, решившие заплатить выкуп, очень часто жалуются на жадность вымогателей, стоящих за Dharma, которые после оплаты требуют еще денег. НЕЛЬЗЯ верить вымогателям и надеяться на их честность! 

Dharma
Это изображение Дхарма только логотип статьи и не принадлежит шифровальщику
---
Обнаружения:
DrWeb -> Trojan.Encoder.3953Trojan.Encoder.10317, Trojan.Encoder.30407
BitDefender -> Trojan.Ransom.Crysis.E, Gen:Variant.Ransom.Crysis.6 Trojan.GenericKD.32842449
ALYac -> Trojan.Ransom.Crysis
ESET-NOD32 -> A Variant Of Win32/Filecoder.Crysis.*
Kaspersky -> Trojan-Ransom.Win32.Crusis.*
Malwarebytes -> Ransom.Crysis.Generic, Ransom.Crysis
Microsoft -> Ransom:Win32/Wadhrama.C
Rising -> Trojan.Ransom.Crysis!1.* (CLOUD)
Tencent -> Trojan-Ransom.Win32.Crysis.a
---

© Генеалогия: CrySiS > Dharma > AI SARA


Оригинальный файл проекта для всех вариантов:
C:\crysis\Release\PDB\payload.pdb

К зашифрованным файлам добавляется расширение .dharma
Фактически используется составное расширение по шаблону: 
.[<email>].dharma
.id-XXXXXXXX.[<email>].dharma

Оригинальное имя файла не изменяется. 
Также используется маркер файлов от Crysis. 

Примеры:
original_filename.[bitcoin143@india.com].dharma
original_filename.[worm01@india.com].dharma
original_filename.[pay4help@india.com].dharma

Известные на данный момент расширения по шаблону .[email_for_ransom].dharma
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt - текстовая записка 
README.jpg - скринлок на обои рабочего стола

Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент твоя система не защищена.
Мы можем это исправить и восстановить файлы.
Для восстановления системы напиши на этот адрес:
bitcoin143@india.com

Файлы, зашифрованные Dharma, содержат специальный маркер файлов.
Например, у варианта с расширением .[worm01@india.com].dharma - это маркер WORM06. У другим может быть другой. 

Пример маркера WORM06



Технические детали

Используется набор инструментов под название "Toolbelt", который сценарий PowerShell позволяет аффилированному партнеру подключать и использовать различные инструменты, которые нужны ему для кражи паролей, распространения на другие машины в сети и для развертывания программ-вымогателей. Подробнее >>

Основной способ атаки-распространения Crysis / Dharma — неавторизованный доступ через незащищенную конфигурацию RDP. Злоумышленники взламывают учетные данные (с помощью атаки по словарю,  грубой силы или готовых списков, купленных у других киберпреступников), удаленно подключается к компьютеру жертвы и запускает троян вручную. Как дополнительные меры также могут использоваться email-спам и вредоносные вложения, эксплойты, фальшивые обновления и компоненты легитимных программ, в том числе якобы от Microsoft, Adobe и пр., перепакованные и заражённые инсталляторы
, чёрный SEO и прочие методыСм. также "Основные способы распространения криптовымогателей" на вводной странице блога


!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Могут использоваться хакерские и легитимные инструменты для проникновения и внесения изменений на компьютере. Наиболее часто пострадавшие сообщали о появлении программы Process Hacker 2, которой раньше не было. 

➤ В автозагрузку системы добавляется копия исполняемого файла и Info.hta файл записки. Примеры: 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\***.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

➤ После шифрования теневые копии файлов удаляются командой:
 vssadmin.exe vssadmin delete shadows /all /quiet 

➤ Каждый файл зашифрован с использованием ключа AES и вновь сгенерированного 128-битного вектора инициализации (IV). Кроме зашифрованного содержимого, зашифрованный файл хранит IV, зашифрованный RSA ключ AES и вспомогательную информацию, включая метку злоумышленника (строковое значение), хэш SHA1 используемого открытого ключа RSA, исходное имя файла, шифрование. тип (часть файла для шифрования выбирается по-разному для маленьких и больших файлов) и контрольная сумма.

Список файловых расширений, подвергающихся шифрованию:
.acrodata, .au3, .bak, .bat, .bin, .bmp, .chm, .dat, .db, .def, .dic, .dll, .doc, .docx, .dot, .dotm, .dotx, .dtd, .e2x, .exe, .flt, .gif, .h, .hpp, .htm, .html, .htt, .hxh, .hxl, .hxn, .hxw, .ico, .idl, .ini, .ion, .jpg, .js, .json, .jsx, .lck, .lib, .lic, .lnk, .log, .mk, .msp, .pl, .pm, .png, .pod, .ppt, .pptx, .py, .pyc, .rar, .rdf, .rtf, .sam, .scf, .sfx, .sig, .sqlite, .sst, .tcc, .tmp, .txt, .wav, .wb2, .wma, .wmdb, .wpd, .wpg, .wpl, .xa, .xbn, .xls, .xlsx, .xml, .xss, .zip … (80 расширений) и другие. 
Документы, базы данных, PDF, фотографии, музыка, видео, архивы, общие сетевые папки и пр. Шифруются также файлы без расширений. 

Файлы, связанные с Dharma Ransomware:
filename.exe, <random_name>.exe - специальное или случайное имя файла
Skanda.exe - вариант имени exe-файла вымогателя
worm.exe - вариант имени exe-файла вымогателя
adobe.exe - вариант имени exe-файла вымогателя
payload.exe  - вариант имени exe-файла вымогателя
processhacker-2.**-setup.exe - легитимная хакерская программа
README.txt - ранний вариант записки о выкупе
FILES ENCRYPTED.txt - последующий вариант записки о выкупе
Info.hta - специальная записка о выкупе в формате веб-приложения*

*| Для запуска HTA предназначена программа mshta.exe, которая использует недокументированную функцию RunHTMLApplication из библиотеки mshtml.dll. По умолчанию в системных настройках mshta.exe сопоставлена расширению .hta, потому для того, чтобы файл с HTML-документом открылся как HTA, его нужно сохранить с этим расширением.

Расположения:
%UserProfile%\AppData\Roaming\<random_name>.exe
C:\DOCUME~1\User\LOCALS~1\Temp\worm.exe
C:\WINDOWS\System32\worm.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\worm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name>.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Ripoff.Acm
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qiblas.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp\System.dll

Записи реестра, связанные с Dharma Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<filename>.exe" = %UserProfile%\AppData\Roaming\<filename>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "%UserProfile%\AppData\Roaming\Info.hta""  = mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "C:\Windows\System32\Info.hta"" = "mshta.exe "C:\Windows\System32\Info.hta""
См. также ниже результаты анализов.

Список email, известных у Dharma Ransomware с расширением .wallet:
3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek@india.com
dderek416@gmail.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com - маркер файлов: 101KPR
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com - маркер файлов: 127AMA
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
space_rangers@aol.com
spacelocker@post.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
war_lost@aol.com
warlokold@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно. 

Существует множество разнообразных вариантов Dharma, которые различаются лишь email-адресами или расширениями. Некоторые из них повторяются много раз. Физически невозможно собрать их все, потому мы (я и мои добровольные помощники) собрали столько, сколько вы здесь можете увидеть. 



=== АРЕСТЫ === ARRESTS ===

Октябрь 2021 года:

Ноябрь 2023:


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление из видео-обзора от GrujaRS


Скринлок, встающий обоями рабочего стола обзавелся индийским стилем. Первая фраза в особенности. 
Содержание текста с обоев:
hello my friend
ALL YOUR DATA IS ENCRYPTED
to get your data back and
protect your system, write:
worm01@india.com



Обновление от 20 ноября 2016: 
Email: drugvokrug727@india.com
Записка: How to decrypt your files.txt
Дублирует требования выкупа изображение, заменяющее обои Рабочего стола. 

Обновление от 28 ноября 2016:
Email: worm01@india.com
Расширение: .dharma
Составное расширение: .[worm01@india.com].dharma
Записка: HOW TO DECRYPT YOUR DATA.txt
Содержание записки: 
to decrypt the data write on mail worm01@india.com
Результаты анализов: HA+VT

Обновление от 28 ноября 2016:
Расширение: .dharma 
Составное расширение: .[tombit@india.com].dharma
Email: tombit@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:


Сообщение >>
Новое расширение: .wallet
Составное расширение: .[lavandos@dr.com].wallet
Email: lavandos@dr.com,  lavandos@india.com
Результаты анализов: VTVT
<< Изображение на обои
*




Обновление от 29 ноября 2016:
Новое расширение: .wallet
Составное расширение: .[amagnus@india.com].wallet
Email: amagnus@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:
Сообщение >>
Новое расширение: .zzzzz
Составное расширение: .[amagnus@india.com].zzzzz

Обновление от 5 декабря 2016:
Новое расширение: .xtbl
Составное расширение: .[mkgoro@india.com].xtbl

Обновление от 13 декабря 2016:
Расширение: .wallet
Email: stopper@india.com
Результаты анализов: VT

Обновление от 18 декабря 2016:
Расширение: .wallet
Email: support_files@india.com
Результаты анализов: VT

Обновление от 26 декабря 2016:
Расширение: .wallet
Email: mksubzero@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .wallet
Составное расширение: .[Mkliukang@india.com].wallet
Email: Mkliukang@india.com

Обновление от 29 декабря 2016:
Сообщение >>
Расширение: .wallet
Расширение: .xtbl
Составное расширение: .[Mkgoro@india.com].xtbl
Составное расширение: .[Mkgoro@india.com].wallet
Записка: Info.hta
Email: mkgoro@india.com



=== 2017 ===

Обновление от 12 января 2017:
Расширение: .wallet
Составное расширение: .[supermagnet@india.com].wallet
Email: supermagnet@india.com

Обновление от 13 января 2017:
Расширение: .wallet
Составное расширение: .[webmafia@asia.com].wallet
Email: webmafia@asia.com
Результаты анализов: VT

Обновления февраля 2017:
Расширение: .wallet
Составное расширение: .[legionfromheaven@india.com].wallet
Email: legionfromheaven@india.com
---
Расширение: .wallet
Составное расширение: .[mission_inposible@aol.com].wallet 
Email: mission_inposible@aol.com
---
Расширения: .viper1 и .viper2
Составные расширения: .[wisperado@india.com].viper1 и .[wisperado@india.com].viper2 
Email: wisperado@india.com

Обновления от 9 марта 2017:
Email: mk.goro@aol.com
Расширение: .wallet
Составное расширение: .id-XXXXXXXX.[mk.goro@aol.com].wallet
Email: mk.goro@aol.com

Обновления от 24 марта 2017:
Описание этого варианта в статье DrWeb >>
Расширение: .wallet
Составное расширение: .id-XXXXXXXX.[moneymaker2@india.com].wallet
Email: moneymaker2@india.com

Обновления от 27 марта 2017:
Расширение: .wallet
Составное расширение: .[crannbest@foxmail.com].wallet
Email: crannbest@foxmail.com

Обновление от 7 апреля 2017:
Расширение: .wallet
Составное расширение: .[mk.kitana@aol.com].wallet
Email: mk.kitana@aol.com
Пример файла: Audit letter - XXXXX.doc.id.-XXXXX.[mk.kitana@aol.net]

Обновление от 14 апреля 2017:
Сообщение >>
Идентификация в ID Ransomware: Dharma (.onion)
Расширение: .onion
Шаблон: config.sys.id-66813FE4.[felix_dies@aol.com].onion


Обновление от 15 апреля 2017:
Расширение: .onion
Файл: volantem_diem@aol.com.exe
Записка: grand car back data.txt
Инструкция: HTA payment instructions 
Email: volantem_diem@aol.com
Пример расширения: .id-12345678.[volantem_diem©aol.com].onion
Примеры зашифрованных файлов:
file.bmp.id-12345678.[volantem_diem©aol.com].onion
file.doc.id-12345678.[volantem_diem@aol.com].onion
file.jpg.id-12345678.[volantem_diem©aol.com].onion
file.mp3.id-12345678.[volantem_diem@aol.com].onion
file.pdf.id-12345678.[volantem_diem@aol.com].onion
file.png.id-12345678.[volantem_diem@aol.com].onion
file.txt.id-12345678.[volantem_diem©aol.com].onion
Результаты анализов: VT

Обновление от 18 апреля 2017:
Сообщение >>
Расширение: .onion
Составное расширение: .id-<id>.[Gladius_Adeptus@aol.com].onion
Email: Gladius_Adeptus@aol.com, Gladius_Adeptus@zoho.eu
Результаты анализов: VT

Обновление от 22 апреля 2017:
Расширение: .wallet
Составное расширение: .id-<id>.[mk.sektor@aol.com].wallet
Email: mk.sektor@aol.com
Результаты анализов: VT

Обновление от 4 мая 2017:
Файлы: mandanos.exe и Info.hta
Расположения: 
"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
%WINDIR%\System32\mandanos.exe
C:\crysis\Release\PDB\payload.pdb
Email: mandanos@foxmail.com
Расширение: .wallet
Составное расширение: .[mandanos@foxmail.com].wallet
Примеры зашифрованных файлов:
<file_name>.id-C3B22A85.[mandanos@foxmail.com].wallet
6DF4C247EB188DBE3AA7FEFB8B83F5C21339C17F.id-C3B22A85.[mandanos@foxmail.com].wallet
Удаление теневых копий файлов: 
vssadmin delete shadows /all /quiet
Результаты анализов: HA+VT

Обновление от 11 мая 2017:
Сообщение >>
Расширение: .wallet
Составное расширение: .[cryptoblazer@asia.com].wallet
Email: cryptoblazer@asia.com

Обновление от 11 мая 2017:
Расширение: .onion
Составное расширение: .id-5FF23AFB.[Asmodeum_daemonium@aol.com].onion
Email: Asmodeum_daemonium@aol.com

Обновление от 14 августа 2017:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение на конце заш-файлов: .cezar
Составное расширение: .[sindragosa@bigmir.net].cesar

Обновление от 17 августа 2017:
Расширение на конце заш-файлов: .cezar
Составное расширение: .[black.mirror@qq.com].cesar 

Обновление от 18 августа 2017:
Расширение / Extension: .cesar
Составное расширение (пример): .id-xxxxxxxx.[gladius_rectus@aol.com].cesar
Email: gladius_rectus@aol.com

Обновление от 23 августа 2017:
Сообщение >>
Расширение: .arena 
Составное расширение: bg.3pg.id-04C9470B.[sindragosa@bigmir.net].arena
Предыдущее расширение: .cezar
Записка: FILES ENCRYPTED.txt
Содержание:
all your data has been locked us
You want to return?
write email sindragosa@bigmir.net

Обновление от 25 августа 2017:
Исполняемый файлы типа: 
MSHTA.EXE-A970B441 
MSHTA.EXE-A732B422
Расширение: .arena 
Шаблон расширения заш-файлов: .id-<id>.[email].arena, среди них известны: 
.id-<id>.[chivas@aolonline.top].arena
.id-<id>.[m.heisenberg@aol.com].arena
Маркер файлов: H5KF8E
Записки: FILES ENCRYPTED.txt и info.hta


Содержание txt-записки см. выше (23 августа) с новым email

Email: chivas@aolonline.top
m.heisenberg@aol.com
Результаты анализов: HA+VT
Статья на BC >>

Обновление от 12 сентября 2017:
Расширение: .arena 
Составное расширение: .[suppyes@cock.li].arena
Email: suppyes@cock.li

Обновление от 29 сентября 2017:
Группа: Dharma-Cezar (.cezar)
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Составное расширение: .id-48B2B43F.[chivas@aolonline.top].cesar
Email: chivas@aolonline.top

Обновление от 11 октября 2017:
Расширение: .arena 
Составное расширение: .id-AE16E5FE.[luckyman@cock.li].arena
Email: luckyman@cock.li и realluckyman@bigmir.net
Пример темы на форуме >>
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email luckyman@cock.li or realluckyman@bigmir.net

Обновление от 11 октября 2017:
Расширение: .cesar
Составное расширение: .id-<id>.[decrypt2010btc@cock.li].cesar
Email: decrypt2010btc@cock.li и bestbitforch@airmail.cc
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email decrypt2010btc@cock.li or bestbitforch@airmail.cc

Обновление от 17 октября 2017:
Расширение: .arena 
Составное расширение: .id-<id>.[admindecrypt@cock.li].arena
Записка: FILES ENCRYPTED.txt

Обновление от 18 и 24 октября 2017:
Расширение: .cesar
Шаблон расширения: .id-<id>.[email].cesar
Примеры составных расширений: 
.id-84D098AE.[Gladius_adeptus@aol.com].cesar
.id-94BF6034.[Oleander_mortis@aol.com].cesar
Email: Gladius_adeptus@aol.com и Oleander_mortis@aol.com

Обновление от 30 октября 2017:
Сообщение >>
Расширение: .arena 
Составное расширение: .id-ECA2BBC2.[batmanbitka1@cock.li].arena
Email: batmanbitkal@cock.li и batmanbitkal@tutanota.com
Записка: FILES ENCRYPTED.txt
Видеообзор от GrujaRS >>

 

Обновление от 2 ноября 2017:
Расширение: .arena 
Составное расширение: .id-49509AB8.[support@decrypt.ws].arena
Email: support@decrypt.ws
Тема на форуме >>
Домен decrypt.ws - это не публичная email-служба, как можно подумать. Этоn домен сейчас прикреплен к Hostland.ru, но зарегистрирован в Германии (телефонный код +49). Ранее домен decrypt.ws засветился всвязи с деятельностью криптовымогателя Paradise Ransomware

Обновления октября-ноября 2017:
Email: instertcoin@usa.com
emailme@italymail.com
horaceingram@mail.com

Обновление от 6 ноября 2017:
Расширение: .arena 
Составное расширение: .id-6889E5E1.[mikecoins@qq.com].arena
Email: mikecoins@qq.com и dd@airmail.cc
Сумма выкупа: 0.73 BTC
Результаты анализов: VT
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email mikecoins@qq.com or dd@airmail.cc

Обновление от 6 ноября 2017:

Расширение: .arena
Составное расширение: .id-C4BA3647.[trump123@cock.li]
.arena
Маркер файла: D49F0C
Email: trump123@cock.li и trump123@tutanova.com
Результаты анализов: HA + AnyRun




Обновление от 7 ноября 2017:
Расширение: .arena
Составное расширение: .id-<id>.[VanDamme@aolonline.top].arena

Обновление от 7 ноября 2017:
Сообщение >>
Подробная статья на BC >> (добавлена позже)
Расширение: .cobra
Составное расширение: .id-E229B4BF.[cranbery@colorendgrace.com].cobra
Шаблон составного расширения: .id-<id>.[email_ransom].cobra
Пример зашифрованного файла: Document Word.doc.id-E229B4BF.[cranbery@colorendgrace.com].cobra
Email: cranbery@colorendgrace.com
Записки: Files encrypted!!.txt и info.hta
Идентификация: ID под Dharma (.cezar)
Результаты анализов: VT



Обновление от 20 ноября 2017:
Сообщение >>
Расширение: .java
Примеры заш-файлов:
malu.jpg.id-FA330904.[sm@uwmanage.com].java
hant.lnk.id-7E177353.[1778357646@qq.cam].java
Email: sm@uwmanage.com и 1778357646@qq.cam

Обновление от 28 ноября 2017:
Расширение: .java
Пример заш-файла:
document.id-A0AED89E.decrypex@tuta.io
Записка: FILES ENCRYPTED.txt.java
Email: decrypex@tuta.io
Топик на форуме >>

Обновление от 3 декабря 2017:
Сообщение >>
Расширение: .java
Шаблон расширения: .id-<id>.{<email>}.java
Теперь используются фигурные скобки. 
Email: faremar@cock.li
Файл: payload_56TGSS.exe
Результаты анализов: VT
<< Примеры заш-файлов 


Обновление от 9 декабря 2017:
Расширение: .java
Пример расширения: .id-1C56D44A.[Workup@india.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: workup@india.com
BTC-кошелёк: 1Ho5H5hsUSytJKHhCoSUBE1QztCCsEDsFq
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email Workup@india.com
Атакует серверы, базы данных 1С и блокирует работу приложений. 
Тема на форуме >>


Обновление от 22 декабря 2017:
Расширение: .java
Пример расширения: .id-1201A1A8.[bacon@oddwallps.com].java
Email: bacon@oddwallps.com

Тема на форуме >>


Обновление от 28 декабря 2017:
Расширение: .java
Пример расширения: .id-8463DA9B.[darkfuture@cock.li].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: darkfuture@cock.li
Тема на форуме >>

=== 2018 ===

Обновление от 3 января 2018:
Расширение / Extension: .java
Пример расширения: .id-B252B84D.[stopstorage@qq.com].java 
Записки: FILES ENCRYPTED.txt и Info.hta
Email: stopstorage@qq.com

Обновление от 5 января 2018:
Расширение / Extension: .java
Пример расширения: .id-E8F4FE5C.[decrypthelp@qq.com].java
Записки: FILES ENCRYPTED.txt и Info.hta
Email: decrypthelp@qq.com и decrypthelp2@qq.com
Файл: 1taskhoste.exe
Результаты анализов: HAVT + HA + VT
<< Скриншот части записки Info.hta
*
Расположения HTA-записок:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta


Обновление от 8 января 2018:

Расширение: .java
Расширение / Extension: .id-B8F053EC.[sabantui@tutanota.com].java
Email: sabantui@tutanota.com и udacha@cock.li
Содержание записки FILES ENCRYPTED.TXT:
all your data has been locked us
You want to return?
write email sabantui@tutanota.com or udacha@cock.li
Содержание записки Info.hta: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sabantui@tutanota.com
Write this ID in the title of your message B8F053EC
In case of no answer in 24 hours write us to theese e-mails:udacha@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Обновление от 18 января 2018:
Расширение / Extension: .java
Составное расширение: .id-12AB34CD.[habibi.habibi3@aol.com].java
Email: habibi.habibi3@aol.com

Обновление от 28 января 2018:
Расширение / Extension: .java
Cоставное расширение: .id-34C25A5F.[ricky.martirosyan@aol.com].java
Email: ricky.martirosyan@aol.com


Обновление от 25 января 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .write
Составное расширение: .id-6243554F.[fiies.re3rore@aol.com].write
Email: fiies.re3rore@aol.com

Обновление 6 февраля 2018:
Расширение / Extension: .java
Составное расширение: .id-18B6F9CC.[alpha2018a@aol.com].java
Email: alpha2018a@aol.com

Обновление 7 февраля 2018:
Расширение / Extension: .java
Составное расширение: .id-15C9D8B8.[godfather_btc@aol.com].java
Email: godfather_btc@aol.com

Обновление 8 февраля 2018:
Расширение / Extension: .java
Email: info@witchevil.tk

Обновление 14 февраля 2018:
Расширение / Extension: .java
Составное расширение: .id-xxxxxxxx.[zeus.throne@aol.com].java
Email: zeus.throne@aol.com
BTC: 17x1KppxW7TnTdN9oYFaNwmMF2vTxxz2dn

Обновление от 19 февраля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-626A7656.[kisamurusa@tutanota.com].java 
Email: kisamurusa@tutanota.com

---
Составное расширение (пример): .id-98895155.[debugs@protonmail.com].java
Email: debugs@protonmail.com


Обновление от 20 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): .id-724B6679.[GuardBTC@cock.li].java
Email: GuardBTC@cock.li
Топик на форуме >>

Обновление от 28 февраля 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): .id-0CBE61F3.[Vegas_MOZ6@protonmail.com].java
Email: Vegas_MOZ6@protonmail.com
Топик на форуме >>

Обновление от 1 марта 2018:
Расширение / Extension: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример):  id-1C16A3D5.[paymenttoday@firemail.cc].java
Email: paymenttoday@firemail.cc
Топик на форуме >>


Обновление от 1 марта 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение / Extension: .arrow
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].arrow
Составное расширение (пример): .id-62A1C276.[bitcoin888@cock.li].arrow
Составное расширение (пример): .id-1E86285C.[Blammo@cock.li].arrow
Составное расширение (пример): .id-2A65682G.[marat20@cock.li].arrow
Email: bitcoin888@cock.li
Blammo@cock.li
marat20@cock.li
Топик на форуме >>

Обновление от 7 марта 2018:
Расширение: .arrow

Составное расширение: .id-XXXXXXXX.[Blammo@cock.li].arrow
Email: vauvau@cock.li, Blammo@cock.li

Обновление от 13 марта 2018:
Сообщение >>
🎥 Видеообзор  >>
Расширение: .java
Пример составного расширения: .id-C4945C9F.[bacon@oddwallps.com].java
Записка: FILES ENCRYPTED.txt 
Email: bacon@oddwallps.com
pepsi666@protonmail.com
Результаты анализов: HAVT
Скриншот записки с exe-файлом на Рабочем столе. 


Обновление от 30 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Составное расширение (пример): .id-3C5235A0.[filebackup999@cock.li].java
Email: filebackup999@cock.li
Топик на форуме >>
Топик на форуме >>


Обновление от 31 марта 2018:
Расширение: .java
Составное расширение (шаблон): .id-xxxxxxxx.[<email>].java 
Пример зашифрованного файла: Module.rtm.id-3AAxxxxx.[Recoverys2018@cock.li].java
Email: Recoverys2018@cock.li
Пост на форуме >>


Обновление от 2 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-E4B7FBD4.[ventablack@tutanota.de].arrow
Email: ventablack@tutanota.de
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-881525EC.[restorehelp.@qqmail.com].java
Email: restorehelp.@qqmail.com
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[deblans@protonmail.com].arrow
Email: deblans@protonmail.com
Записка: Info.hta
Файл: 1U9C8B9.exe
Топик на форуме >>

Обновление от 3 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-36BA5732.[letmehelpyou@cock.li].arrow
Email: letmehelpyou@cock.li
Топик на форуме >>

Обновление от 4 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-1DC5A473.[Filecode99@cock.li].arrow
Email: filecode99@cock.li
Файлы: W96R2C_payload.exe
Топик на форуме >>

Обновление от 5 апреля 2018:
Расширение / Extension: .arrow
Email: amaya_payne2@aol.com, nikki.lond2@aol.com
Результаты анализов: VT

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-2EC1CB52.[filebackup999@cock.li].java
Записка: FILES ENCRYPTED.txt 

Email: filebackup999@cock.li
Топик на форуме >>

Обновление от 6 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-94BC3565.[biglocker@airmail.cc].java
Записка: FILES ENCRYPTED.txt 
Email: biglocker@airmail.cc
Пост  на форуме >>


Обновление от 11 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-62F6E0C5.[return.data@qq.com].arrow
Записка: Info.hta
Email: return.data@qq.com
BTC: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
Файл: Explorer.exe
Топик на форуме >>
Содержание записки о выкупе Info.hta:
Your files have been encrypted because you care badly about your security system.
We do not deliberately hacked you, it was an accident.
We can and we will help you if you accept our offer.
We always keep our promises.
You must make payment in BITCOINS to our adress.
After payment we will send to you detailed instructions and personal decoder for your infected device.
Also we will give you tips for improve your security.
Please make your decision as soon as possible! Otherwise, the price can change!
The price is 0,7 BTC. 
our wallet is: 19e9duPrD6F2Db3mCQUG5wC5r4BnmKUXFa
If you plan to get your data back, please write to us that you have read our terms.
Also you can make free test decryption. Conditions for test decryption:
1) You can send FEW files for test decrypting. Maximum files for test is 3.
2) Put your files in one archive, and upload your files here: dropfile.to and send to us link.
3) We don't decrypt ".exe" files, archives, databases, and backups for test(read: for free). 
You can send another files like jpg pdf xls doc and other. 
4) Files should not have the same extensions. One extesion - one file.
5) Total max size of test files is 5 mb(non-archived)!
6) If you will send to us test files it's mean that you completely agree with our proposal for decryption.

Обновление от 14 апреля 2018:
Расширение / Extension: .java
Составное расширение (пример): .id-D86B1905.[gettkey@qq.com].java
Email: gettkey@qq.com и xtrachance@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta
Содержание записки о выкупе FILES ENCRYPTED.txt :
all your data has been locked us
You want to return?
write email gettkey@qq.com or xtrachance@qq.com







Обновление от 16 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-2C21Bxxx.[keygena@aol.com].arrow
Записки: Info.hta, FILES ENCRYPTED.txt
Email: keygena@aol.com, keygena@cock.li



Обновление от 20 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-8881Exxx.[becky.cely2@aol.com].arrow
Email: becky.cely2@aol.com

Обновление от 26 апреля 2018:
Расширение / Extension: .arrow
Составное расширение (пример): .id-xxxxxxxx.[mindysnell2@aol.com].arrow
Email: mindysnell2@aol.com

Обновление от 3 мая 2018:
Расширение / Extension: .java
Составное расширение (пример): id-BEA67A84.[restorehelp@qq.com].java
Email: restorehelp@qq.com
Топик на форуме >>

Обновление от 14 мая 2018:
Расширение / Extension: .arrow
Составное расширение (пример): id-xxxxxxxx.[decrypthelp@qq.com].arrow
Email: Decrypthelp@qq.com


Обновление от 15 мая 2018:
Сообщение >> 
Статья на BC >>
Группа: Dharma-Cezar (.cezar)
Расширение: .bip
Составное расширение: .[restoresales@airmail.cc].bip
Составное расширение: .[beamsell@qq.com].bip
Email-1: restoresales@airmail.cc
Email-2: beamsell@qq.com
Записки: FILES ENCRYPTED.txt и Info.hta  


Содержание файла INFO.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Beamsell@qq.com
Write this ID in the title of your message BCBEF350
In case of no answer in 24 hours write us to theese e-mails:Beamsell@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
➤ Содержание файла FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Beamsell@qq.com
Результаты анализов: VT + VT + VT

Обновление от 16 мая 2018:
Расширение: .bip
Составное расширение: .id-3CFEE1F7.[298347823@tuta.io].bip
Email: 298347823@tuta.io
Файл: DHL.exe
Записка: Info.hta

Обновление от 20 мая 2018:
Расширение: .bip
Email: luxenburg@tutanota.com
londonlondon@cock.li

Обновление от 24 мая 2018:
Расширение / Extension: .java
Составное расширение: .[decodingfiles@airmail.cc].java
Email: decodingfiles@airmail.cc
BTC: 15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Содержание записки о выкупе:
Decoding Files 0.3 BTC
translation at the expense of Bitcoin
15tUq2sEg4VAoNqqtsYmJxu1qQs1nArhtc
Buy Bitcoin here https://localbitcoins.com or https://www.buybitcoinworldwide.com/find-exchange/ or https://www.coinbase.com or https://www.xmlgold.eu or any other exchanger or write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key we can decrypt one file for free the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format other formats will not be free decryption after payment you will receive a program
Топик на форуме >>

Обновление от 26 мая 2018:
Сообщение >>
Расширение: .arrow
Составное расширение: .[java2018@tuta.io].arrow
Email-1: java2018@tuta.io
Email-2: java2018@india.com
Записка: Info.hta
Файлы: withlove.exe, mode.com
Результаты анализов: HA + VT
🎥 Видеообзор >>


Обновление от 28 мая 2018:
Расширение: .bip
Составное расширение: .id-0021B708.[return24data@cock.li].bip
Email: return24data@cock.li
Файл: DHL.exe или другой
Записка: Info.hta
Пост на форуме >>

Обновление от 6 июня 2018: 
Расширение: .arrow
Составное расширение: .id-0021B708.[helprestore@cock.li].arrow
Email: helprestore@cock.li
Пост на форуме >>

Обновление от 11 июня 2018:
Расширение: .arrow
Составное расширение: .id-9ACE3897.[simple_decrypt@qq.com].arrow
Email: simple_decrypt@qq.com
Записки: как прежде
➤ Ответ вымогателей в письме: 
1. Calculation of decoding cost
The cost of decryption for you is "0.6"  bitcoin. (Bitcoin is a form of digital currency)
0.6 bitcoin it`s a fixed cost for first key. 
Every next keys cost 0.05 bitcoin
All externall drives (USB or NAS or another) it`s different keys.
One key can decrypt 1 computer or server.
If you have NAS it`s another 1 key.
If you have USB it`s another 1 key.
Any EXTERNAL DRIVES (USB or NAS or another) it`s another 1 key.
Examples: If you have 1 server. 1 computer with many local disk. 1 Nas and 1 USB. It`s 4 keys.
Total price: 0.6+0.05+0.05+0.05 = .75 bitcoins.
2. Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
3. Free decryption as guarantee
You can send us up to 3 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1EGB5Qqa1Z6LT8LriPY4YQamPGzEwLFxgN". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 

Обновление от 12 июня 2018:
Расширение: .bip
Составное расширение: .[avarufilturner@aol.com].bip
Email: avarufilturner@aol.com
Записка: Info.hta
Пост на форуме >>

Обновление от 25 июня 2018:
Расширение: .bip
Составное расширение: .id-F25E5DE4.[Worldcry@cock.li].bip
Email: Worldcry@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Worldcry@cock.li
Записка: Info.hta
➤ Содержание Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li
Write this ID in the title of your message F25E5DE4
In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: 
https://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Пост на форуме >>

Обновление от 26 июня 2018:
Расширение: .bip
Составное расширение:.id-xxxxxxxx.[ballabor7@aol.com].bip
Email: ballabor7@aol.com, ballb535@aol.com
Записка: FILES ENCRYPTED.txt 
 Содержание записки: 
all your data has been locked us
You want to return?
write email ballabor7@aol.com or ballb535@aol.com
Пост на форуме >>

Другие обновление июня 2018 (дата не указана):
Составное расширение: .id-XXXXXXXX.[black.mirror@qq.com].arena
Составное расширение: .id-XXXXXXXX.[black.mirror@qq.com].java
Составное расширение: .id-XXXXXXXX.[Brazzers@aolonline.top].arena
Составное расширение: .id-XXXXXXXX.[btc.me@india.com].cezar
Составное расширение: .{mixifightfiles@aol.com}BIT

Обновление от 3 июля 2018:
Расширение: .arrow
Составное расширение: .id-xxxxxxxx.[quickunlocker@india.com].arrow
Записка: FILES ENCRYPTED.txt 
Email: quickunlocker@india.com

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-04A6A938.[avarufilturner@aol.com].bip
Записка: FILES ENCRYPTED.txt 
Email: avarufilturner@aol.com

Обновление от 5 июля 2018:
Расширение: .java
Составное расширение: .id-C0F8EC7D.[GeorgeWashington@cock.li].java
Записка: FILES ENCRYPTED.txt 
Email: GeorgeWashington@cock.li
Топик на форуме >>

Обновление от 5 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[buydecrypt@qq.com].bip
Записка: FILES ENCRYPTED.txt 
Email: buydecrypt@qq.com

Обновление от 10 июля 2018:
Расширение: неизвестно
Email: master888@tutanova.com

Обновление от 16 июля 2018:
Расширение: .bip
Составное расширение: .id-xxxxxxxx.[zara2018@cock.li].bip
Email: zara2018@cock.li

Обновление от 19 июля 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[Eterniity@qq.com].bip
Email: Eterniity@qq.com
Пост на форуме >>

Обновление от 23 июля 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[combo@tutanota.de].combo
Шаблон расширения: .id-<id>.[<email>].combo
Email: combo@tutanota.de


Обновление от 6 июля 2018: 
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[olivias3vzjscott@aol.com].bip
Записка: FILES ENCRYPTED.txt 
Email: olivias3vzjscott@aol.com, laurenlyfxecarter@aol.com
 Содержание записки:
all your data has been locked us
You want to return?
write email olivias3vzjscott@aol.com or laurenlyfxecarter@aol.com


Обновление от 9 июля 2018: 
Сообщение >>
Расширение: .cmb
Составное расширение (шаблон): .id-<XXXXXXXX>.[<email>].cmb
Пример зашифрованного файла: My_documents.doc.id-58ABC52F.[paymentbtc@firemail.cc].cmb
Записка: FILES ENCRYPTED.txt
Результата анализов: VT + HA + VB + IA

Обновление от 12 августа 2018:
Расширение: .bip
Email: dec999@cock.li
Составное расширение: .id-XXXXXXXX.[dec999@cock.li].bip
Топик на форуме >>


Обновление от 14 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[bitpandacom@qq.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Email: bitpandacom@qq.com
BTC: 1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca
Топик на форуме >>
Топик на форуме >>
➤ Ответ вымогателей:
1.  Decoding cost
The cost of decryption is 3 500 $. We receive payment only in BITCOINS. (Bitcoin is a form of digital currency)
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 
3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption. 
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins: 
https://localbitcoins.com/
https://www.bitpanda.com/
https://paxful.com/
https://www.abra.com/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.


Ответ операторов:

I’m an email operator. I'll try to answer all your questions and help you to decrypt files. To start answer:
1. How many computers with local disks are encrypted?
2. How many external hard drives or NAS are encrypted?
3. Write your ID. (you can find it in the name of the files)

Обновление от 17 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[taliferro.correa@aol.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Пример зашифрованного файла: file_name.doc.id-3EED4567.[taliferro.correa@aol.com].combo
Email: taliferro.correa@aol.com


Обновление от 20 августа 2018: 
Расширение: .java
Составное расширение:  .id-XXXXXXXX.{uorenbufet@cock.li}.java
Email: uorenbufet@cock.li

Обновление от 26 августа 2018: 
Расширение: .arrow 
Сумма выкупа: 0.6-1BTC
Email: helprecovery@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email helprecovery@cock.li
Пост на форуме >>

Обновление от 27 августа 2018:
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[demassagaddison@aol.com].combo
Шаблон расширения: .id-<id>.[<email>].combo
Пример зашифрованного файла: file_name.doc.id-4CAA1234.[demassagaddison@aol.com]
Email: demassagaddison@aol.com
Файл: shaofao.exe
Топик на форуме >>


Обновление от 31 августа 2018:
Расширение: .java
Составное расширение: .id-XXXXXXXX.[Bas_ket@aol.com]
Email: Bas_ket@aol.com
➤ Содержание записки
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Bas_ket@aol.com
Write this ID in the title of your message 
In case of no answer in 24 hours write us to theese e-mails: Bas_ket@aol.com
Топик на форуме >>

Обновление от 7 сентября 2018:
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[help-123@tutanota.com].bip
Email: help-123@tutanota.com

Обновление от 8 сентября 2018: 
Сообщение >>
Расширение: .brrr 
Составное расширение: .id-XXXXXXXX.[paydecryption@qq.com].brrr
Email: paydecryption@qq.com
Записки: FILES ENCRYPTED.txt, Info.hta
Файлы: Penland Kilby.exe и другие
Результаты анализов: VTVTVT
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email paydecryption@qq.com
➤ Содержание записки Info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail paydecryption@qq.com
Write this ID in the title of your message [id]
In case of no answer in 24 hours write us to theese e-mails:paydecryption@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Обновление от 16 сентября 2018:
Сообщение >>
Группа: Dharma-Cezar (.cezar)
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[<email>].gamma
Примеры найденных расширений: 
.[bebenrowan@aol.com].gamma
.[fidelio.bartyn@aol.com].gamma
.[godfreynivison@aol.ccm].gamma
.[webbizak@aol.com].gamma
.[burchbabbington@aol.com].gamma
Email: bebenrowan@aol.com
fidelio.bartyn@aol.com
godfreynivison@aol.ccm
webbizak@aol.com
burchbabbington@aol.com
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT




Обновление от 18 сентября 2018:
Сообщение >>
Расширение: .monro
Составное расширение: .[icrypt@cock.li].monro
Записки: FILES ENCRYPTED.txt, Info.hta
Email: icrypt@cock.li
Файл: PassGen.exe
Результаты анализов: VT + VB




Обновление от 20 сентября 2018: 
Сообщение >>
Расширение: .bkp
Составное расширение: .[bkp@cock.li].bkp
Email: bkp@cock.li
Результаты анализов: VT + VB

Обновление от 23 сентября 2018: 
Расширение: .combo
Составное расширение: .[lok07@tuta.io].combo
Email: lok07@tuta.io


Обновление от 2 октября 2018: 
Сообщение >>
Расширение: .btc
Составное расширение: .id-9C354B42.[btc@fros.cc].btc
Записки: Info.hta + FILES ENCRYPTED.txt
Email: btc@fros.cc
Результаты анализов: VT + VT + VMRay



Обновление от 5 октября 2018: 
Сообщение >>
Расширение: .bgtx
Составное расширение: .id-F44048E7.[decrypt@fros.cc].bgtx
Записки: Info.hta + FILES ENCRYPTED.txt
Email: decrypt@fros.cc
Результаты анализов: VT

Обновление от 28 сентября - 8 октября 2018: 
Сообщение >>
Расширение: .boost
Составное расширение: .id-XXXXXXXX.[boston.crypt@tuta.io].boost
Записки: Info.hta + FILES ENCRYPTED.txt
Email: boston.crypt@tuta.io
Результаты анализов: VT

Обновление от 11 октября 2018: 
Сообщение >>
Расширение: .waifu
Составное расширение: .id-XXXXXXXX.[Darknes@420blaze.it].waifu
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Darknes@420blaze.it
Результаты анализов: VT + VMRay + VT + HA

Обновление от 13 октября 2018: 
Сообщение >>
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[mixon.constantine@aol.com].gamma
Записки: Info.hta + FILES ENCRYPTED.txt
Email: mixon.constantine@aol.com, mclainmelvin@aol.com 
Результаты анализов: VT



Обновление от 18 октября 2018: 
Расширение: .combo
Составное расширение: .[broodmother@cock.li].combo
Email: broodmother@cock.li

Обновление от 19 октября 2018: 
Сообщение >>
Расширение: .betta
Составное расширение: .id-XXXXXXXX.[backtonormal@foxmail.com].betta
Записки: Info.hta + FILES ENCRYPTED.txt
Email: backtonormal@foxmail.com
Результаты анализов: VT + HA

Обновление от 24 октября 2018: 
Пост на форуме BC >>
Расширение: .gamma
Составное расширение: .id-XXXXXXXX.[koreyrandle@aol.com].gamma
Записки: Info.hta + FILES ENCRYPTED.txt
Email: koreyrandle@aol.com
Результаты анализов: VT

Обновление от 24 октября 2018: 
Сообщение >>
Расширение: .vanss
Составное расширение: .id-XXXXXXXX.[Blacklist@cock.li].vanss
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Blacklist@cock.li
Результаты анализов: VT


Обновление от 25 октября 2018: 
Сообщение >>
Расширение: .FUNNY
Составное расширение: .id-XXXXXXXX.[WildMouse@cock.li].FUNNY
Записки: Info.hta + FILES ENCRYPTED.txt
Email-1: WildMouse@cock.li
Email-2: unlock24@cock.li
Результаты анализов: VT + HA

Обновление от 28 октября 2018: 
Сообщение >>
Расширение-1: .gdb
Расширение-2: .like
Записки: Info.hta + FILES ENCRYPTED.txt
Email-1: GetDataBack@fros.cc
Email-2: help@decrypt-files.info
Результаты анализов: VT + VMRay + VT + HA

Обновление от 30 октября 2018: 
Сообщение >>
Расширение: .xxxxx
Составное расширение: .id-c4769e4d.[syndicatexxx@aol.com].xxxxx
Записки: Info.hta + FILES ENCRYPTED.txt
Email: syndicateXXX@aol.com
Результаты анализов: VT + HA + VT


Обновление от 30 октября 2018: 
Расширение: .lock
Составное расширение: .id-30CE2F6F.[unlock@fros.cc].lock
Записки: Info.hta + FILES ENCRYPTED.txt
Email: unlock@fros.cc
➤ Содержание записки:
all your data has been locked us
You want to return?
write email unlock@fros.cc
Топик на форуме >>


Обновление от 5 ноября 2018:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[badbusiness@tutanota.de].adobe
Email: badbusiness@tutanota.de

Обновление от 6 ноября 2018:
Сообщение >>
Расширение: .tron
Составное расширение: .id-001DBf12.[xtron@cock.li].tron
Email: xtron@cock.li, xtron@fros.cc
Файл: ProgSnake.exe
Результаты анализов: VT + VMRay



Обновление от 9 ноября 2018:
Сообщение >>
Расширение-1: .AUDIT
Расширение-2: .cccmn
Email-1: payransom@qq.com
Email-2: decrypt_arena@india.com
Результаты анализов: VT + VT


Обновление от 22 ноября 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[btcdecripter@qq.com].adobe
Email: btcdecripter@qq.com

Обновление от 15 ноября 2018: 
Сообщение >>Расширение: .Bear
Составное расширение: .id-XXXXXXXX.[Grizzly@airmail.cc].Bear
Записки: Info.hta + FILES ENCRYPTED.txt
Email: Grizzly@airmail.cc
Результаты анализов: VT + VT



Обновление от 17 ноября 2018: 
Сообщение >>
🎥 Видеообзор >>
Расширение: .fire
Составное расширение: .id-XXXXXXXX.[suppfirecrypt@qq.com].fire
Записки: Info.hta + FILES ENCRYPTED.txt
Email: suppfirecrypt@qq.com
Результаты анализов: VT + HA




Обновление от 22 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[stopencrypt@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: stopencrypt@qq.com

Обновление от 23 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[forestt@protonmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: forestt@protonmail.com

Обновление от 25 ноября 2018:
Сообщение >>
Расширение: .myjob
Составное расширение: .id-XXXXXXXX.[goodjob24@foxmail.com].myjob
Записки: Info.hta + FILES ENCRYPTED.txt
Email: goodjob24@foxmail.com
Файл EXE: expiorer.exe
Результаты анализов: VT

Обновление от 27 ноября 2018:
Сообщение >>
Расширение: .war
Составное расширение: .id-XXXXXXXX.[cyberwars@qq.com].war
Записки: Info.hta + FILES ENCRYPTED.txt
Email: cyberwars@qq.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email cyberwars@qq.com

Обновление от 27 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[youneedfiles@india.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: youneedfiles@india.com

Обновление от 28 ноября 2018:
Сообщение >>
Расширение: .risk
Составное расширение: .id-XXXXXXXX.[audit@cock.li].risk
Записки: Info.hta + FILES ENCRYPTED.txt
Email: audit@cock.li
Результаты анализов: VT


Обновление от 29 ноября 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[garenraypha1989@aol.com].adobe
Email: garenraypha1989@aol.com, odasnasri1976@aol.com

Обновление от 30 ноября 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[admindecryption@cock.li].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: admindecryption@cock.li


Обновление от 30 ноября 2018:
Расширение: .adobe
Составное расширение: .[mercarinotitia@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: mercarinotitia@qq.com



Обновление от 30 ноября 2018:
Сообщение >>
Расширение: .adobe
Составное расширение в примере на сайте ANY.RUN: .[parambingobam@cock.li].adobe
Составное расширение в примере на сайте Hybrid Analysis на файлах расширение: ._parambingobam@cock.li_.adobe
Пример зашифрованного файла: Composite.docx.id-24C2B6A0._parambingobam@cock.li_.adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: parambingobam@cock.li, bufytufylala@tuta.io
Файл EXE: svhost.exe
Результаты анализов: VT + HA + AR



Обновление от 4 декабря 2018:
Сообщение >>
Расширение: .RISK
Email: audit24@qq.com
Файл EXE: realtek.exe
Результаты анализов: VT

Список известных email вымогателей на начало декабря 2018:
5btc@protonmail.com
aidaclark2@aol.com
amanda_sofost@india.com
aptopfawkvee1975@aol.com
backfiles2@aol.com
backtonormal@foxmail.com
bacon@oddwallps.com
bitcoin143@india.com
bolkemafetehia@aol.com
brolin.tasso@aol.com
buydecrypt@qq.com
condneparrio1976@aol.com
contreavili1974@aol.com
darrellgrant628@aol.com
decrypt injury@india.com
decrypt.guarantee@aol.com
decrypt.guarantee@aol.com
decryptdata@qq.com
decrypter2018@hotmail.com
decrypthelp@qq.com
decryptprof@qq.com
diegobtc@tutanota.com
Eterniity@qq.com
fairman2@cock.li
fairman3@cock.li
filedec@tuta.io
filerestore@cock.li
fittanatos@cock.li
garenraypha1989@aol.com
garvinford@aol.com
gettkey@qq.com
helper2k17@india.com
helperwindows@cock.li
heslo_1@protonmail.com
injury@india.com 
katiabloom@aol.com
krastycorp@aol.com
lola2017@tuta.io.arena
maja_ashby2@aol.com
marialz280williams@aol.com
mazma@india.com
menhausl@aol.com
MillardFillmore@cock.li
mindysnell2@aol.com
mixon.constantine@aol.com
mp35@protonmail.com
nomascus@india.com
payransom@qq.com
peekaboo@qq.com
pettyealoin@aol.com
raclawtravier@aol.com
restorehelp@cock.li
rigopril123@cock.li
robot2018@tutanota.com
sh2137@email.vccs.edu
skycry17@qq.com
sqlbackup40@cock.li
stopencrypt@qq.com
strongman@cock.li
surprise24@rape.lol
syndicateXXX@aol.com
terrabyte8@india.com
Torontos@tuta.io.combo
xmen_xmen@aol.com
youfiles@dd.com
zula.ryall2@aol.com

Обновление от 5 декабря 2018:
Сообщение >>
Сообщение >>
Расширение: .bkpx
Составное расширение: .[admin@decryption.biz].bkpx
Email: Admin@decryption.biz
Файл EXE: TaskifierV.exe
Результаты анализов: VT


Обновление от 7 декабря 2018:
🎥 Видеообзор >>
Сообщение от 10 декабря >>
Расширение: .santa
Составное расширение: .id-XXXXXXXX.[newsantaclaus@aol.com].santa
Записки: Info.hta + FILES ENCRYPTED.txt
Email: newsantaclaus@aol.com
Файл EXE: 
Результаты анализов: VT + HA
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email newsantaclaus@aol.com
➤ Содержание записки Info.hta: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail newsantaclaus@aol.com
Write this ID in the title of your message 1C******
In case of no answer in 24 hours write us to theese e-mails: newsantaclaus@aol.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Обновление от 7 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX. [payransom@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: payransom@qq.com

Обновление от 8 декабря 2018:
Топик на форуме >>
Расширение: нет данных
Составное расширение: .id-XXXXXXXX.[seautylola1976@aol.com].***
Записки: Info.hta + FILES ENCRYPTED.txt
Email: seautylola1976@aol.com,  leberciouded1975@aol.com
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to Return?
write email  seautylola1976@aol.com  or  leberciouded1975@aol.com

Обновление от 9 декабря 2018:
Расширение: .adobe
Составное расширение: .[avflantuheems1984@aol.com].adobe 
Email: avflantuheems1984@aol.com, sasutemul1972@aol.com
Файл: avflantuheems1984.exe
Результаты анализов: HA + VT

Обновление от 10 декабря 2018:
Пост на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[vipcry@rape.lol].adobeEmail: vipcry@rape.lol
Записки: Info.hta + FILES ENCRYPTED.txt

➤ Содержание записки:
all your data has been locked us
You want to Return?
write ema

il seautylola1976@aol.com or leberciouded1975@aol.com


Обновление от 10 декабря 2018:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[manpecamet1974@aol.com].adobe
Email: manpecamet1974@aol.com, raxisubsro1977@aol.com
Записки: Info.hta + FILES ENCRYPTED.txt
Файл EXE: 123.exe
Результаты анализов: VT + HA

Обновление от 11 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[stopencrypt@qq.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: stopencrypt@qq.com

Обновление от 13 декабря 2018:
Сообщение >>
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[skynet45@cock.li].combo
Записки: Info.hta + FILES ENCRYPTED.txt
Email: skynet45@cock.li, skynet45@tutanota.com
Результаты анализов: VT + HA


Обновление от 14 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[kores@cock.li].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: kores@cock.li

Обновление от 17 декабря 2018:
Расширение: .like
Составное расширение: .id-XXXXXXXX.[HELPFUL@decrypt-files.info].like
Записки: Info.hta + FILES ENCRYPTED.txt
Email: HELPFUL@decrypt-files.info

Обновление от 19 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[heriberto_lazcano@aol.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: heriberto_lazcano@aol.com

Обновление от 20 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[ovthafeja1987@aol.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: ovthafeja1987@aol.com

Обновление от 22 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: veracrypt@foxmail.com

Обновление от 25 декабря 2018:
Сообщение >>
Расширение: .bizer
Составное расширение: id-XXXXXXXX.[silver@decryption.biz].bizer
Email: silver@decryption.biz
Результаты анализов: VT

Обновление от 26 декабря 2018:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[backtonormal@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: backtonormal@foxmail.com

Обновление от 26 декабря 2018:
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Записки: Info.hta + FILES ENCRYPTED.txt
Email: veracrypt@foxmail.com
Файл EXE: vera.exe, 1Vera.exe, 1vera.exe
Результаты анализов: VT + HA


=== 2019 ===

Обновление от 1 января 2019:
Пост на форуме >>
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[garenraypha1989@aol.com].adobe
Записка: Info.hta
Email: garenraypha1989@aol.com


Обновление от 2 января 2019:
Расширение: .adobe
Составное расширение: id-XXXXXXXX.[decryptdata@qq.com].adobe
Email: decryptmyfiles@qq.com
BTC: 1JAET7671EGy2nnT4VNjznr5Di6XCsqFwW
BTC: 1LryFGg4GDnYbmd5kHM7qV73jxxaD1o3FP
➤ Пример ответного письма вымогателей (ссылка):
1.  Decoding cost
The cost of decryption is 6 500 $. We receive payment only in BITCOINS. (Bitcoin is a form of digital currency)
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
2.  Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible.
3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1LryFGg4GDnYbmd5kHM7qV73jxxaD1o3FP". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
                                                   https://www.bitpanda.com/
                                                   https://paxful.com/
                                                   https://www.abra.com/    FOR   CHINA: https://www.huobi.com/         https://www.bitoex.com/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.

Обновление от 9 января 2019:
Топик на форуме >>
Расширение: .bip
Составное расширение: .id-XXXXXXXX.[obamausa7@aol.com].bip
Email: obamausa7@aol.com

Обновление от 12 января 2019:
Топик на форуме >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[heriberto_lazcano@aol.com].adobe
Записка: Info.hta
Email: heriberto_lazcano@aol.com
Файл EXE: realtec.exe

Обновление от 17 января 2019:
Расширение: .gif
Email: payadobe@yahoo.com
Результаты анализов: VT + VB

Обновление от 11 мая 2017:
Сообщение >>
Расширение: .wallet
Email: cryptoblazer@asia.com
Результаты анализов: VT + HA

Обновление от 18 января 2019:
Сообщение >>
Расширение: .java
Составное расширение: .id-XXXXXXXX.[stopstorage@qq.com].java
Записка: Info.hta
Email: stopstorage@qq.com
Результаты анализов: VT + HA

Обновление от 18 января 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[ovro@tuta.io].adobe
Записка: FILES ENCRYPTED
Email: ovro@tuta.io, oovro@aol.com
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email ovro@tuta.io or oovro@aol.com

Обновление от 18 января 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.Tocktock@qq.com.adobe
Записка: FILES ENCRYPTED
Email: Tocktock@qq.com
BTC: 17qg5zoQVkHo2Bomqt2wZgyUfitvhTVT9b
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email Tocktock@qq.com

Обновление от 19 января 2019:
Сообщение >>
Расширение: .AUF
Записка: Info.hta
Email: Decisivekey@tutanota.com
Файл EXE: winhost.exe
Результаты анализов: VT + VMRay

Обновление от 19 января 2019:
Сообщение >>
Расширение: .btc
Составное расширение: .id-XXXXXXX.[raphaeldupon@aol.com].btc
Email: raphaeldupon@aol.com
Файл EXE: 1801.exe
Результаты анализов: VT + HA


Обновление от 21-22 января 2019:
Расширение: .heets
Составное расширение: .id-XXXXXXXX.[polmacpol@cock.li].heets
Email: polmacpol@cock.li

Обновление от 22-24 января 2019:
Сообщение >>
Топик на форуме >>
Расширение: .USA
Составное расширение: .id-42075XXX.[usacode@aol.com].USA
Email: usacode@aol.com
Результаты анализов: VT

Обновление от 22 января 2019:
Сообщение >>
Расширение: .xwx
Составное расширение: .id-XXXXXXXX.[data@decoding.biz].xwx
Email: data@decoding.biz
Результаты анализов: VT

Обновление от 23 января 2019:
Сообщение >>
Расширение: .best
Составное расширение: .id-XXXXXXXX.[bestdecoding@cock.li].best
Email: bestdecoding@cock.li
Результаты анализво: VT + VMRay

Обновление от 23 января 2019:
Расширение: .btc
Составное расширение: .id-C6857XXX.[writehere@qq.com].btc
Email: writehere@qq.com

Обновление от 23 января 2019:
Сообщение >>
Расширение: .heets

Обновление от 24 января 2019:
Топик на форуме >>
Топик на форуме BC >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[youneedfiles@india.com].adobe
Записка: FILES ENCRYPTED.txt:
Email: youneedfiles@india.com
BTC: 1FvKPhgMmZfrE2UDjcquJeoHC1TSWMA9sZ или другой
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email youneedfiles@india.com


Обновление от 26-28 января 2019:
Пост на форуме >>
Расширение: .usa
Составное расширение: .id-XXXXXXXX.[madbad@foxmail.com].usa
Записка: Info.hta
Email: madbad@foxmail.com
Результаты анализов: VT + HA

Обновление от 30 января 2019:
Сообщение >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[welesmatron@aol.com].btc
Email: welesmatron@aol.com, welesmatron@cock.li
Файл EXE: 
Результаты анализов: VT + HA

Обновление от 31 января 2019:
Сообщение >>
Расширение: .qwex
Составное расширение: .id-XXXXXXXX.[backdata@qq.com].qwex
Email: backdata@qq.com
Файл EXE: LogSession.exe
Результаты анализов: VT

Обновление от 31 января 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[helpfilerestore@india.com].eth
Email: helpfilerestore@india.com
Результаты анализов: VT

Обновление от 1 февраля 2019:
Сообщение >>
Расширение: .air
Составное расширение: .id-XXXXXXXX.[satco@tutanota.com].air
Email: satco@tutanota.com
Файл EXE: winhost.exe
Результаты анализов: VT

Обновление от 1 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[skpayment@protonmail.com].btc
Email: skpayment@protonmail.com

Обновление от 4 февраля 2019:
Сообщение >>
Сообщение >>
Расширение: .888
Составное расширение: .id-XXXXXXXX.[donald888@mail.fr].888
Составное расширение: .id-XXXXXXXX.[drwho888@mail.fr].888
Записки: FILES ENCRYPTED.txt и Info.hta
Email-1: donald888@mail.fr
Email-2: drwho888@mail.fr
Результаты анализов: VT + VT + HA

Обновление от 5 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[skypayment@protonmail.com].btc
Email: skypayment@protonmail.com

Обновление от 5 февраля 2019:
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[welesmatron@aol.com].btc
Email: welesmatron@aol.com
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[korvin0amber@cock.li].amber
Email: korvin0amber@cock.li
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .frend
Составное расширение: .id-XXXXXXXX.[undogdianact1986@aol.com].frend
Email: undogdianact1986@aol.com
Результаты анализов: VT

Обновление от 7 февраля 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[blackhat2019@aol.com].ETH
Email: blackhat2019@aol.com

Обновление от 14 февраля 2019:
Расширение: .KARLS
Составное расширение:  .id-XXXXXXXX.[karlosdecrypt@outlook.com].KARLS
Email: karlosdecrypt@outlook.com
Результаты анализов: VT

Обновление от 14 февраля 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[raphaeldupon@aol.com].ETH
Email: raphaeldupon@aol.com
Записки: FILES ENCRYPTED, Info.hta
Результаты анализов: VT + HA


Обновление от 16 февраля 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[master777@tutanota.com].ETH
Email: master777@tutanota.com


Обновление от 16 февраля 2019:
Сообщение >>
Сообщение >>
Расширение: .aqva
Email: crypted_files@qq.com
Результаты анализов: VT + HA

Обновление от 22 февраля 2019:
Сообщение >>
Расширение: .AYE
Составное расширение: .id-XXXXXXXX.[sebekgrime@tutanota.com].AYE
Email: sebekgrime@tutanota.com
Результаты анализов: VT + VMR

Обновление от 24 февраля 2019:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[anticrypt@countermail.com].adobe
Email: anticrypt@countermail.com


Обновление от 26 февраля 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[unblock@badfail.info].ETH
Email: unblock@badfail.info


Обновление от 1 марта 2019:
Топик на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[bfiles2@cock.li].ETH
Email: bfiles2@cock.li

Обновление от 3 марта 2019:
Сообщение >>
Расширение: .korea
Email: omfg@420blaze.it
420blaze.it => https://ovo.sc/
Результаты анализов: VT

Обновление от 5-8 марта 2019:
Сообщение >>
Сообщение >>
Расширение: .plomb
Составное расширение: .id-XXXXXXXX.[plombiren@hotmail.com].plomb
Email: plombiren@hotmail.com
Результаты анализов: VT + AR

Обновление от 8 марта 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[adobe-123@tutanota.com].ETH
Email: adobe-123@tutanota.com

Обновление от 11 марта 2019:
Сообщение >>
Расширение: .NWA
Составное расширение: .id-XXXXXXXX.[dr.crypt@aol.com].NWA
Записка: FILES ENCRYPTED.txt
Email: dr.crypt@aol.com
Результаты анализов: VT 

Обновление от 11 марта 2019:
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[aq811@tutanova.com].ETH
Email: aq811@tutanova.com

Обновление от 13 марта 2019:
Сообщение >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[trupm@protonmail.com].com
Email: trupm@protonmail.com
Результаты анализов: VT 


Обновление от 13 марта 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[decryptmyfiles@qq.com].ETH
Email: decryptmyfiles@qq.com

Обновление от 18 марта 2019:
Сообщение >>
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[amber777king@cock.li].amber
Email: amber777king@cock.li

Обновление от 18 марта 2019:
Сообщение >>
Расширение: .azero
Составное расширение: .id-XXXXXXXX.[cryptor55@cock.li].azero
Email: cryptor55@cock.li
Результаты анализов: VT 

Обновление от 19 марта 2019:
Пост на форуме >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[Writehere@qq.com].btc
Email: Writehere@qq.com, dtrestorehelp@gmail.com

Обновление от 22 марта 2019:
Сообщение >>
Расширение: .bk666
Составное расширение: .id-XXXXXXXX.[berserk666@tutanota.com].bk666
Email: berserk666@tutanota.com
Результаты анализов: VT 

Обновление от 26 марта 2019:
Пост на форуме >>
Расширение: .ETH
Email: heslo_1@protonmail.com
adobe-123@tutanota.com


Обновление от 27 марта 2019:
Расширение: .ETH
Email: sqlbackup2@mail.fr


Обновление от 28 марта 2019:
Сообщение >>
Расширение: .stun
Составное расширение: .id-XXXXXXXX.[unlockdata@foxmail.com].stun
Email: unlockdata@foxmail.com
Результаты анализов: VT

Обновление от 1 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[data_recovery_2019@aol.com].com
Записка: FILES ENCRYPTED.txt
Email: data_recovery_2019@aol.com
Результаты анализов: VT
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email data_recovery_2019@aol.com

Обновление от 1 апреля 2019:
Сообщение >>
Расширение: .ms13
Составное расширение: .id-XXXXXXXX.[ms_13@aol.com].ms13
Записки: FILES ENCRYPTED, Info.hta
Email: ms_13@aol.com
Результаты анализов: VT + VMR + AR

Обновление от 3 апреля 2019:
Топик на форуме >>
Расширение: .air
Составное расширение: .id-XXXXXXXX.[qqwp@tutanota.com].air
Email: qqwp@tutanota.com
Файлы EXE: winhost.exe, winhost_0.exe, winhost_1.exe

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .amber
Составное расширение: .id-XXXXXXXX.[amber777king@cock.li].amber
Записка: FILES ENCRYPTED.txt
Email: amber777king@cock.li, amber777king@tutanota.com
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email amber777king@cock.li or amber777king@tutanota.com

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[altairs35@india.com].com
Записка: FILES ENCRYPTED.txt
Email: altairs35@india.com

Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .[infinity@firemail.cc]
Составное расширение: .id-XXXXXXXX.[infinity@firemail.cc]
Записки: FILES ENCRYPTED, Info.hta
Email: infinity@firemail.cc



Обновление от 5 апреля 2019:
Сообщение >>
Расширение: .carcn
Составное расширение: .id-XXXXXXXX.[carcinoma24@aol.com].carcn
Записки: FILES ENCRYPTED, Info.hta
Email: carcinoma24@aol.com
Результаты анализов: VT + VMR

Обновление от 6 апреля 2019:
Сообщение >>
Расширение: .btix
Составное расширение: .id-XXXXXXXX.[encrypt11@cock.li].btix
Email: encrypt11@cock.li
Результаты анализов: VT + VMR

Обновление от 7 апреля 2019:
Расширение: .888
Составное расширение: .id-XXXXXXXX.[888superstar@mail.fr].888
Email: 888superstar@mail.fr
Записка: FILES ENCRYPTED.txt 
➤ Содержание записки FILES ENCRYPTED.txt:
all your data has been locked us
You want to return?
write email 888superstar@mail.fr

Обновление от 8 апреля 2019:
Пост на форуме >>
Расширение: .heets
Составное расширение: .id-XXXXXXXX.[tartartary@cock.li].heets
Email: tartartary@cock.li

Обновление от 9 апреля 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[Darksides@tutanota.com].ETH
Email: Darksides@tutanota.com

Обновление от 10 апреля 2019:
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[Surprise24@rape.lol].adobe
Email: Surprise24@rape.lol
Записка: FILES ENCRYPTED.txt

Обновление от 10 апреля 2019:
Сообщение >>
Расширение: .gate
Составное расширение: .id-XXXXXXXX.[lockhelp@qq.com].gate
Email: lockhelp@qq.com 
Файл EXE: 1csrss.exe
Результаты анализов: VT + VMR

Обновление от 11 апреля 2019:
Пост на форуме >>
Расширение: .btc
Составное расширение: .id-XXXXXXXX.[rubaka@cock.li].btc
Email: rubaka@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email rubaka@cock.li

Обновление от 11 апреля 2019:
Сообщение >>
Расширение: .LOVE
Составное расширение: .id-XXXXXXXX.[seeyoubro@tutanota.com].LOVE
Email: seeyoubro@tutanota.com
Результаты анализов: VT + VMR

Обновление от 16 апреля 2019:
Топик на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[aq811@tutanota.com].ETH
Email: aq811@tutanota.com

Обновление от 16 апреля 2019:
Топик на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptyourdata@qq.com].com
Email: decryptyourdata@qq.com

Обновление от 18 апреля 2019:
Email: filekey77@tutanota.com, filekey77@cock.li
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email filekey77@tutanota.com or filekey77@cock.li

Обновление от 20 апреля 2019:
Пост на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].com
Записки: FILES ENCRYPTED, Info.hta
Email: decryptoperator@qq.com


Обновление от 22 апреля 2019:
Топик на форуме >>
Сообщение >>
Расширение: .LDPR
Составное расширение: .id-XXXXXXXX.[mr.crypt@aol.com].LDPR
Записки: FILES ENCRYPTED, Info.hta
Email: mr.crypt@aol.com, one.crypt@aol.com
Файл: notepad.exe
Результаты анализов: VT
➤ Содержание записки Info.hta: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail mr.crypt@aol.com
Write this ID in the title of your message DAE69***
In case of no answer in 24 hours write us to theese e-mails:one.crypt@aol.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 22 апреля 2019:
Топик на фоуме >>
Расширение: .[f-data@protonmail.com]
Составное расширение: .id-XXXXXXXX.[f-data@protonmail.com]
Записки: FILES ENCRYPTED, Info.hta
Email: f-data@protonmail.com, helpfile@rape.lol


Обновление от 27 апреля 2019:
Расширение: .com

Составное расширение: .id-XXXXXXXX.[bitcharity@protonmail.com].com
Записки: FILES ENCRYPTED, Info.hta
Email: bitcharity@protonmail.com, tradebitcoin@email.com
Результаты анализов: VT + VMR


Обновление от 28 апреля 2019:
Пост на форуме >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[relax@data-safe.me].com
Email: relax@data-safe.me, ctatmulfite@protonmail.com
Записка: files-encrypted.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email relax@data-safe.me or ctatmulfite@protonmail.com

Обновление от 4 мая 2019:
Расширение: .[crypt7@qq.com]
Составное расширение: .id-XXXXXXXX.[crypt7@qq.com]
Записки: FILES ENCRYPTED, Info.hta
Email: crypt7@qq.com, crypt7@tutanota.com

Обновление от 4 мая 2019:
Сообщение >>
Топик на форуме >>
Расширение: .MERS
Составное расширение: .id-XXXXXXXX.[crypt1style@aol.com].MERS
Email: crypt1style@aol.com, crypt1style@keemail.me
Записка: RETURN FILES.txt 
Файл: chrome64b.exe
Результаты анализов: VT + VMR


Обновление от 5 мая 2019:
Сообщение >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[idecryptyourdata@cock.li].bat
Составное расширение: .id-XXXXXXXX.[decryptyourdata@qq.com].bat
Email: idecryptyourdata@cock.li, decryptyourdata@qq.com
Результаты анализов: VT + VMR, VT + VMR

Обновление от 6 мая 2019:
Расширение: .qbix
Составное расширение: .id-XXXXXXXX.[backdata@qq.com].qbix
Email: backdata@qq.com
Результаты анализов: VT

Обновление от 6 мая 2019:
Расширение: .aa1
Составное расширение: .id-XXXXXXXX.[who8@mail.fr].aa1
Email: who8@mail.fr
Результаты анализов: VT + VMR

Обновление от 6 мая 2019:
Пост на форуме >>
Расширение: .wal
Составное расширение: .id-XXXXXXXX.[decryptdocs@protonmail.com].wal
Email: decryptdocs@protonmail.com, decryptdocs@airmail.cc
Записки: FILES ENCRYPTED, Info.hta
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email decryptdocs@protonmail.com or decryptdocs@airmail.cc
Результаты анализов: VT

Обновление от 7 мая 2019:
Пост на форуме >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[datadecrypt@qq.com].ETH
Email: datadecrypt@qq.com

Обновление от 7 мая 2019:
Пост на форуме >>
Расширение: .[decryptoperator@qq.com]
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com]
Email: decryptoperator@qq.com
➤ Содержание txt-записки:
All your data is encrypted!
for return write to mail:
decryptoperator@qq.com

Обновление от 7-8 мая 2019:
Пост на форуме >>
Расширение: .combo
Составное расширение: .id-XXXXXXXX.[yaya2018@cock.email].combo
Email: yaya2018@cock.email

Обновление от 8 мая 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[Enigma1crypt@aol.com].ETH
Записки: FILES ENCRYPTED, Info.hta
Email: Enigma1crypt@aol.com
Использует ESET AV Remover. 
Файл EXE: Defender.exe
Установщик ESET AV Remover будет автоматически запущен после запуска самораспаковывающегося архива, отвлекая собой внимание жертвы, пока шифровальщик Dharma шифрует файлы в фоновом режиме.
Результаты анализов: VT + AR


🎥 Видеообзор >>
Подробная статья об этом варианте >> 


Обновление от 11 мая 2019:
Сообщение >>
Расширение: .qbtex
Составное расширение: .id-XXXXXXXX.[1btc@decryption.biz].qbtex
Email: 1btc@decryption.biz
Результаты анализов: VT + VMR

Обновление от 11 мая 2019:
Сообщение >>
Расширение: .yG
Составное расширение: .id-XXXXXXXX.[sysadmin@mail.fr].yG
Email: sysadmin@mail.fr
Результаты анализов: VT + VMR

Обновление от 12 мая 2019:
Расширение: 
.com
Составное расширение: .id-XXXXXXXX.[bleeparity@protonmail.com].com
Email: bleeparity@protonmail.com


Обновление от 13 мая 2019:
Сообщение >>
Расширение: .drweb
Составное расширение: .id-XXXXXXXX.[dr.web24@aol.com].yG
Email: dr.web24@aol.com
Результаты анализов: VT + VMR

Обновление от 14 мая 2019:
Сообщение >>
Расширение: .jack
Составное расширение: .id-XXXXXXXX.[lockhelp@qq.com].jack
Email: lockhelp@qq.com
Результаты анализов: VT + VMR
---
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[adolfhackler@tutanota.com].PLUT
Email: adolfhackler@tutanota.com
Результаты анализов: VT + VMR

Обновление от 15 мая 2019:
Расширение: .com
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].com
Email: decryptoperator@qq.com

Обновление от 15 мая 2019:
Расширение: .DDOS
Составное расширение: .id-XXXXXXXX.[decripted@cock.li].DDOS
Email: decripted@cock.li
Результаты анализов: VT + VMR

Обновление от 16 мая 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[DonovanTudor@aol.com].bat
Email: DonovanTudor@aol.com

Обновление от 16 мая 2019:
Сообщение >>
Расширение: .cry
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].cry
Email: decryptoperator@qq.com
Результаты анализов: VT + VMR

Обновление от 16 мая 2019:
Сообщение >>
Расширение: .ETH
Составное расширение: .id-XXXXXXXX.[beam@firemail.cc].ETH
Email: beam@firemail.cc
Файо EXE: crysis_chk16may19.exe
Результаты анализов: VT + AR

Обновление от 17 мая 2019:
Сообщение >>
Расширение: .4k
Составное расширение: .id-XXXXXXXX.[rocosmon@cock.li].4k
Email: rocosmon@cock.li
Результаты анализов: VT + VMR

Обновление от 17 мая 2019:
Топик на форуме >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dalanso@aol.com].bat
Email: dalanso@aol.com

Обновление от 18 мая 2019:
Топик на форуме >>
Расширение: .888
Составное расширение: .id-XXXXXXXX.[backdata888@mail.fr].888
Email: backdata888@mail.fr


Обновление от 19 мая 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[luxsoft@tutanota.com].bat
Email: luxsoft@tutanota.com

Обновление от 20 мая 2019:
Сообщение >>
Расширение: .TOR13
Email: chanelcrypt@aol.com
Результаты анализов: VT

Обновление от 25 мая 2019:
Сообщение >>
Расширение: .qbx
Составное расширение: .id-XXXXXXXX.[btcdecoding@qq.com].qbx
Записка: RETURN FILES.txt
Email: btcdecoding@qq.com

Обновление от 28 мая 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[vombombom@cock.li].beets
Записка: 
Email: vombombom@cock.li
Файл EXE: svhost.exe
Результаты анализов: VT + VMR

Обновление от 30 мая 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[WSS911@tutanota.com].harma
Email: WSS911@tutanota.com

Обновление от 3 июня 2019:
Сообщение >>
Расширение: .BSC
Составное расширение: .id-XXXXXXXX.[basecrypt@aol.com].BSC
Записки: FILES ENCRYPTED, Info.hta
Email: basecrypt@aol.com
Файл: reaitek.exe
Результаты анализов: VT + VMR
➤ Содержание записки Info.hta:
All FILES ENCRYPTED "RSA1024"
All YOUR FILES HAVE BEEN ENCRYPTED!!! IF YOU WANT TO RESTORE THEM, WRITE US TO THE E-MAIL basecrypt@aol.com
IN THE LETTER WRITE YOUR ID, YOUR ID 402BA***
IF YOU ARE NOT ANSWERED, WRITE TO EMAIL:basecrypt@aol.com
YOUR SECRET KEY WILL BE STORED ON A SERVER 7 DAYS, AFTER 7 DAYS IT MAY BE OVERWRITTEN BY OTHER KEYS, DON'T PULL TIME, WAITING YOUR EMAIL 
FREE DECRYPTION FOR PROOF
You can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
DECRYPTION PROCESS:
When you make sure of decryption possibility transfer the money to our bitcoin wallet. As soon as we receive the money we will send you: 
 1. Decryption program. 
 2. Detailed instruction for decryption. 
 3. And individual keys for decrypting your files. 
!WARNING!
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 5 июня 2019:
Расширение: .bat
Составное расширение: .id-62BXXXXX.[altairs35@protonmail.com].bat
Записка: RETURN FILES.txt
Email: altairs35@india.com
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
altairs35@protonmail.com or Altairs35@cock.li

Обновление от 5 июня 2019:
Расширение: .cry 
Составное расширение: .id-XXXXXXXX.[decryptoperator@qq.com].cry 
Email: decryptoperator@qq.com

Обновление от 5 июня 2019:
Сообщение >>
Расширение: .kjh
Составное расширение: .id-XXXXXXXX.[datareturn@qq.com].kjh
Записка: RETURN FILES.txt
Email: datareturn@qq.com

Обновление от 6 июня 2019:
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dkey999@cock.li].bat
Записка: RETURN FILES.txt
Email: dkey999@cock.li

Обновление от 9 июня 2019:
Сообщение >>
Расширение: .zoh
Составное расширение: .id-XXXXXXXX.[restdoc@protonmail.com].zoh
Email: restdoc@protonmail.com
Результаты анализов: VT + VMR

Обновление от 12 июня 2019:
Топик на форуме >>
Расширение: .YG
Составное расширение: .id-XXXXXXXX.[supporthelp@mail.fr].YG
Email: supporthelp@mail.fr


Обновление от 13 июня 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ban.out@foxmail.com].harma
Email: ban.out@foxmail.com

Обновление от 15 июня 2019:
Сообщение >>
Расширение: .HACK
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].HACK
Email: mr.hacker@tutanota.com

Обновление от 16 июня 2019:
Сообщение >>
Топик на форуме >>
Расширение: .0day
Составное расширение: .id-XXXXXXXX.[my0day@aol.com].0day
Записка: RETURN FILES.txt
Email: my0day@aol.com, daysupp@aol.com
Результаты анализов: VT + VMR
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
my0day@aol.com or daysupp@aol.com


Обновление от 16 июня 2019:
Расширение: .bat 
Составное расширение: .id-XXXXXXXX.[sprt@keemail.me].bat 
Email: sprt@keemail.me, support@cock.lu

Обновление от 24 июня 2019:
Сообщение >>
Расширение: .hccapx
Составное расширение: .id-XXXXXXXX.[hccapx@protonmail.com].hccapx
Email: hccapx@protonmail.com
Результаты анализов: VT

Обновление от 24 июня 2019:
Сообщение >>
Расширение: .cap
Составное расширение: .id-XXXXXXXX.[ks20296@email.vccs.edu].cap
Email: ks20296@email.vccs.edu
Результаты анализов: VT

Обновление от 25 июня 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[bigmacbig@cock.li].beets
Записка: RETURN FILES.txt
Email: bigmacbig@cock.li, lablabpub@tutanota.com
Результаты анализов: VT + VMR

Обновление от 25 июня 2019:
Сообщение >>
Расширение: .xxxx
Составное расширение: .id-XXXXXXXX.[decryptxxx@protonmail.com].xxxx
Email: decryptxxx@protonmail.com
Результаты анализов: VT

Обновление от 26 июня 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[savemydata@qq.com].harma
Email: savemydata@qq.com
➤ Содержание записки:
all your data has been locked us
You want to return?
Write email savemydata@qq.com

Обновление от 29 июня 2019:
Сообщение >>
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[MasterLuBu@tutanota.com].PLUT
Записка: RETURN FILES.txt
Email: MasterLuBu@tutanota.com, MasterLuBu@tutanota.cock.li
Результаты анализов: VT + HA + VMR


Обновление от 1 июля 2019:
Сообщение >>
Расширение: .beets
Составное расширение: .id-XXXXXXXX.[bigmacbig@cock.li].beets
Email: bigmacbig@cock.li, lablabpub@tutanova.com
Результаты анализов: VT + JSA

Обновление от 1 июля 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[savemydata@qq.com].harma
Email: savemydata@qq.com
BTC: 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
➤ Содержание ответного письма вымогателей:
All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!
1.  Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)
2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your files using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 
3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption. 
3. And individual keys for decrypting your files.
5.  The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
                                 https://bitbay.net   https://www.bitquick.co/   
                                 https://www.xmlgold.eu/  
                                 https://coinmama.com/  
                                 https://cex.io/  
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification. P.S. The easiest way to buy bitcoins in CHINA: https://www.huobi.com/  https://www.bitoex.com/

Обновление от 5 июля 2019:
Сообщение >>
Расширение: .crash
Составное расширение: .id-XXXXXXXX.[ii05635@aol.com].crash
Email: ii05635@aol.com

Обновление от 5 июля 2019:
Топик на форуме >>
Расширение: .bat
Составное расширение: .id-XXXXXXXX.[dkey999@cock.li].bat
Email: dkey999@cock.li

Обновление от 7 июля 2019:
Топик на форуме >>
Расширение: .save
Составное расширение: .id-XXXXXXXX.[seavays@aol.com].save
Email: seavays@aol.com
Результаты анализов: VT

Обновление от 7 июля 2019:
Сообщение >>
Расширение: .php
Составное расширение: .id-XXXXXXXX.[back_me@foxmail.com].php
Email: back_me@foxmail.com
Результаты анализов: VT + VMR
---
Расширение: .dqb
Составное расширение: .id-XXXXXXXX.[btcdecoding@qq.com].dqb
Email: btcdecoding@qq.com
Результаты анализов: VT + VMR

Обновление от 8 июля 2019:
Топик на форуме >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[adm15@protonmail.com].html
Email: adm15@protonmail.com
Записка: RETURN FILES.txt
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
adm15@protonmail.com

Обновление от 8 июля 2019:
Сообщение >>
Расширение: .save
Составное расширение: .id-XXXXXXXX.[seavays@aol.com].save
Email: seavays@aol.com
Результаты анализов: VT + VMR

Обновление от 8 июля 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ban.out@foxmail.com].harma
Записка: RETURN FILES.txt
Email: ban.out@foxmail.com

Обновление от 9 июля 2019:
Сообщение >>
Расширение: .KICK
Составное расширение: .id-XXXXXXXX.[mstr.hacker@protonmail.com].KICK
Email: mstr.hacker@protonmail.com
Результаты анализов: VT + VMR

Обновление от 10 июля 2019: 
Сообщение >>
Расширение: .BKP
Составное расширение: .id-XXXXXXXX.[keeky@protonmail.com].BKP
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: keeky@protonmail.com

Обновление от 11 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[thebest777@protonmail.ch].html
Записки: Info.hta, FILES ENCRYPTED.txt
Email: thebest777@protonmail.ch
Результаты анализов: VT + VMR

Обновление от 12 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[paydra@cock.li].html
Email: paydra@cock.li
Файл EXE: C:\Windows\System32\ohbdap.exe
Результаты анализов: VT + VMR

Обновление от 18 июля 2019:
Топик на форуме >>
Расширение: .PLUT
Составное расширение: .id-XXXXXXXX.[MasterLuBu@tutanota.com].PLUT
Email: MasterLuBu@tutanota.com, MasterLuBu@cock.li
➤ Содержание записки:
All your data is encrypted!
for return write to mail:
MasterLuBu@tutanota.com or MasterLuBu@cock.li


Обновление от 19 июля 2019:
Сообщение >>
Расширение: .USA
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].USA
Записка: FILES ENCRYPTED.txt
Email: mr.hacker@tutanota.com, mrhacker@cock.li
Результаты анализов: VT + VMR

Обновление от 24 июля 2019:
Сообщение >>
Расширение: .com2
Составное расширение: .id-XXXXXXXX.[DonovanTudor@aol.com].com2
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: DonovanTudor@aol.com
Результаты анализов: VT

Обновление от 25 июля 2019:
Сообщение >>
Расширение: .Acuf2
Составное расширение: .id-XXXXXXXX.[panama777@tutanota].Acuf2
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: panama777@tutanota
Результаты анализов: VT + HA + VMR

Обновление от 25 июля 2019:
Сообщение >>
Расширение: .nqix
Составное расширение: .id-XXXXXXXX.[support@qbmail.biz].nqix
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: support@qbmail.biz
Результаты анализов: VT + HA + VMR

Обновление от 27 июля 2019:
Топик на форуме >>
Расширение: .HACK
Составное расширение: .id-XXXXXXXX.[mr.hacker@tutanota.com].HACK
Email: mr.hacker@tutanota.com
Результаты анализов: VT + HA + VMR


Обновление от 27 июля 2019:
Топик на форуме >>
Расширение: .harma 
Составное расширение: .id-XXXXXXXX.[bitcoin1@foxmail.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: bitcoin1@foxmail.com
Результаты анализов: VT + HA + VMR


Обновление от 27 июля 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[zanzibar65@mail.fr].html
Записки: Info.hta, FILES ENCRYPTED.txt
Email: zanzibar65@mail.fr
Результаты анализов: VTVMR

Обновление от 30 июля 2019:
Топик на форуме >>
Расширение: .[helpsok@cock.li]
Составное расширение: .id-XXXXXXXX.[helpsok@cock.li]
Email: helpsok@cock.li, helpsok@tutanota.com
➤ Содержание записки: 
All your data is encrypted!
for return write to mail:
helpsok@cock.li or helpsok@tutanota.com

Обновление от 3 августа 2019:
Сообщение >>
Расширение: .Q1G
Составное расширение: .id-XXXXXXXX.[getbtc@aol.com].Q1G
Записки: Info.hta, FILES ENCRYPTED.txt 
Email: getbtc@aol.com
Результаты анализов: VT + VMR

Обновление от 5 августа 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[The777@tuta.io].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: The777@tuta.io
Результаты анализов: VT + HA + VMR

Обновление от 6 августа 2019:
Сообщение >>
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[<email>].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: Harmahelp73@gmx.de, Harmahelp73@protonmail.com 
Файл: E5M99S_payload.exe
Результаты анализов: VT + HA + VMR


Обновление от 19 августа 2019:
Топик на форуме >>
Расширение: .usa
Составное расширение: .id-XXXXXXXX.[usacrypt@aol.com].usa
Email: usacrypt@aol.com

Обновление от 24 августа 2019:
Топик на форуме >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[uncleme@cock.li].pdf
Записки: RETURN FILES.txt
Email: uncleme@cock.li, unlock@decryption.biz
Результаты анализов: VT + HA + VMR
➤ Содержание записки: 
All your data is encrypted!
for return write to mail:
uncleme@cock.li or unlock@decryption.biz

Обновление от 25 августа 2019:
Сообщение >>
Расширение: .com2
Составное расширение: id-XXXXXXXX.[DonovanTudor@aol.com].com2
Email: DonovanTudor@aol.com


Обновление от 26 августа 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: id-XXXXXXXX.[decryptbots@cock.li].pdf
Email: decryptbots@cock.li
Файл EXE: invoice.exe
Результаты анализов: VT

Обновление от 27 августа 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Harmahelp73@gmx.de].harma
Email: Harmahelp73@gmx.de

Обновление от 27-30 августа 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: id-XXXXXXXX.[3442516480@qq.com].pdf
Записка: RETURN FILES.txt
➤ Содержание записки: 
All your data is encrypted!
for return write to mail:
3442516480@qq.com or 1169309366@qq.com
Email: 3442516480@qq.com
Результаты анализов: VT + AR



Обновление от 26-28 августа 2019:
Топик на форуме >>
Расширение: .group
Составное расширение: .id-XXXXXXXX.[cybergroup1@aol.com].group
Записки: RETURN FILES.txt 
Email: cybergroup1@aol.com, cybergroup11@aol.com
➤ Содержание записки: 
All your data is encrypted!
for return write to mail:
cybergroup1@aol.com or cybergroup11@aol.com


Обновление от 3 сентября 2019:
Пост на форуме >>
Расширение: .biz
Составное расширение: .id-XXXXXXXX.[support@qbmail.biz].biz
Записка: RETURN FILES.txt
Email: support@qbmail.biz, reservesupport@cock.li
➤ Содержание записки: 
All your data is encrypted!
for return write to mail:
support@qbmail.biz or reservesupport@cock.li


Обновление от 4 сентября 2019:
Сообщение >>
Расширение: .MGS
Составное расширение: .id-XXXXXXXX.[mrcrypt@cock.li].MGS
Email: mrcrypt@cock.li
Результаты анализов: VTVMR

Обновление от 5 сентября 2019:
Сообщение >>
Расширение: .html
Составное расширение: .id-XXXXXXXX.[vip76@protonmail.com].html
Email: vip76@protonmail.com, vip76@@cock.li
Записки: RETURN FILES.txt, Info.hta 
Результаты анализов: VT + VMR

Обновление от 5 сентября 2019:
Сообщение >>
Расширение: .cmd
Составное расширение: .id-XXXXXXXX.[fox5sec@aol.com].cmd
Email: fox5sec@aol.com, sec5fox@aol.com
Записка: FILES ENCRYPTED.txt
Файл: agent1c.exe
Результаты анализов: VT + AR

Обновление от 12 сентября 2019:
Сообщение >>
Составное расширение: .id-XXXXXXXX.[veracrypt@foxmail.com].adobe
Email: veracrypt@foxmail.com
Результаты анализов: VT + HA + IA

Обновление от 13 сентября 2019:
Топик на форуме >>
Расширение: ???
Составное расширение: .id-XXXXXXXX.[dalanso@aol.com].*
Email: dalanso@aol.com

Обновление от 13 сентября 2019:
Сообщение >>
Расширение: .RSA
Составное расширение: .id-XXXXXXXX.[rsa1024@tutanota.com].RSA
Email: rsa1024@tutanota.com
Результаты анализов: VT

Обновление от 14 сентября 2019: 
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Harmahelp73@gmx.de].harma
Email: Harmahelp73@gmx.de, Harmahelp73@protonmail.com
Записка: FILES ENCRYPTED.txt + HTA-записка
➤ Содержание txt-записки: 
all your data has been locked us
You want to return?
write email Harmahelp73@gmx.de or Harmahelp73@protonmail.com

Обновление от 15 сентября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Email: 3442516480@qq.com, 1169309366@qq.com
Записка: RETURN FILES.txt
Результаты анализов: VT + VMR

Обновление от 16 сентября 2019: 
Сообщение >>
Сообщение >>
Расширение: .ebola
Составное расширение: .id-XXXXXXXX.[newebola@aol.com].ebola
Email: newebola@aol.com
Результаты анализов: VT + AR + VMR

Обновление от 17 сентября 2019: 
Сообщение >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[cmdroot@airmail.cc].money
Email: cmdroot@airmail.cc
Результаты анализов: VT + VMR

Обновление от 18 сентября 2019:
Сообщение >>
Расширение: .KARLS
Составное расширение: .id-XXXXXXXX.[karlosdecrypt@outlook.com].KARLS
Email: karlosdecrypt@outlook.com
Записка: FILES ENCRYPTED.txt + HTA-записка
Результаты анализов: VT + AR + AR

Обновление от 28 сентября 2019: 
Сообщение >>
Расширение: .VIVAL
Составное расширение: .id-XXXXXXXX.[vivaldicrypt@outlook.com].VIVAL
Email: vivaldicrypt@outlook.com
Результаты анализов: VT

Обновление от 4 октября 2019: 
Сообщение >>
Расширение: .CASH
Составное расширение: .id-XXXXXXXX.[cryptocash@aol.com].CASH
Записки: FILES ENCRYPTED.txt, Info.hta
Email: cryptocash@aol.com
Результаты анализов: VT

Обновление от 8 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@stex777.com].money
Email: admin@stex777.com
Результаты анализов: VT + AR + VMR

Обновление от 11 октября 2019:
Расширение: .KRAB
Составное расширение: .id-XXXXXXXX.[Blackmax@tutanota.com ].KRAB
Email: Blackmax@tutanota.com
Результаты анализов: VT

Обновление от 12 октября 2019:
Сообщение >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@fentex.net].money
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: admin@fentex.net, admin@fentex.world 
Результаты анализов: VT 

Обновление от 16 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[keyhelp@cock.li].money
Email: keyhelp@cock.li

Обновление от 15 октября 2019:
Сообщение >>
Расширение: .oo7
Составное расширение: .id-XXXXXXXX.[b1tc01n@aol.com].oo7
Email: b1tc01n@aol.com
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT

Обновление от 17 октября 2019:
Сообщение >>
Расширение: .uta
Составное расширение: .id-XXXXXXXX.[jacklee@airmail.cc].uta
Email: jacklee@airmail.cc
Результаты анализов: VT + AR

Обновление от 17 октября 2019: 
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[nmode@tutanota.com].bot
Email: nmode@tutanota.com
Результаты анализов: VT + VMR

Обновление от 18 октября 2019:
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@fentex.net].money
Email: admin@fentex.net

Обновление от 20 октября 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[MerlinWebster@aol.com].harma
Email: MerlinWebster@aol.com


Обновление от 20 октября 2019: 
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt 
Email: bitlocker@foxmail.com
Результаты анализов: VT + VMR
➤ Содержание записки Info.hta
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail bitlocker@foxmail.com
Write this ID in the title of your message 965*****
In case of no answer in 24 hours write us to theese e-mails:bitlocker@foxmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
• Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.  


Обновление от 21 октября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[ecnrypt98@cock.li].harma
Email: ecnrypt98@cock.li
Результаты анализов: VT + AR

Обновление от 22 октября 2019: 
Сообщение >>
Топик на форуме >>
Расширение: .PBD
Составное расширение: .id-XXXXXXXX.[paybuyday@aol.com].PBD
Email: paybuyday@aol.com
Результаты анализов: VT + VMR

Обновление от 24 октября 2019:
Пост на форуме >>
Расширение: .money
Составное расширение: .id-XXXXXXXX.[admin@stex777.com].money
Email: admin@stex777.com, admin@stex777.xyz
Записка: FILES ENCRYPTED.txt
➤ Содержание записки:
all your data has been locked us
You want to return?
write email admin@stex777.com or admin@stex777.xyz


Обновление от 24 октября 2019:
Сообщение >>
Расширение: .one
Составное расширение: .id-XXXXXXXX.[back_me@foxmail.com].one
Email: back_me@foxmail.com
Результаты анализов: VT + VMR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[gillian.cher@aol.com].harma
Email: gillian.cher@aol.com
Результаты анализов: VT + VMR

Обновление от 25 октября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Email: 3442516480@qq.com
Результаты анализов: VT + VMR


Обновление от 25 октября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[recoverysql@protonmail.com].bot
Записка: Info.hta
Email: recoverysql@protonmail.com, recoverysql@cock.li
Результаты анализов: VT + HA


Обновление от 26 октября 2019: 
Пост на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[vite.mcclatchie@aol.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt
Email: vite.mcclatchie@aol.com, dewitt.foxcroft@aol.com
➤ Содержание txt-записки: 
all your data has been locked us
You want to return?
Write email vite.mcclatchie@aol.com or dewitt.foxcroft@aol.com


Обновление от 27 октября 2019: 
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Email: bitlocker@foxmail.com
Результаты анализов: VT + AR

Обновление от 29 октября 2019:
Сообщение >>
Топик на форуме >>
Расширение: .xda 
Составное расширение: .id-XXXXXXXX.[fullrestore@qq.com].xda
Email: fullrestore@qq.com
Результаты анализов: VT


Обновление от 30 октября 2019: 
Сообщение >>
Расширение: .asus
Составное расширение: .id-XXXXXXXX.[DataBack@qbmail.biz].asus
Email: DataBack@qbmail.biz
Результаты анализов: VT + VMR

Обновление от 30 октября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Email: admin@sectex.net
Результаты анализов: VT + VMR + AR / VT + AR (28-11-19)

Обновление от 31 октября 2019:
Топик на форуме >>
Расширение: .wiki
Составное расширение: .id-B0XXXXXX.[bitlocker@foxmail.com ].wiki
Email: bitlocker@foxmail.com
Результаты анализов: VT + AR

Обновление от 31 октября 2019: 
Сообщение >>
Расширение: .start
Составное расширение: .id-XXXXXXXX.[starter@cumallover.me].start
Email: starter@cumallover.me
Результаты анализов: VT + VMR

Обновление от 3 ноября 2019: 
Сообщение >>
Расширение: .VIRUS
Составное расширение: .id-XXXXXXXX.amandacerny89@aol.com
Email: amandacerny89@aol.com
Результаты анализов: VT + VMR

Обновление от 3 ноября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Email: admin@sectex.net
Результаты анализов: VT + VT

Обновление от 4 ноября 2019:
Сообщение >>
Расширение: .adobe
Составное расширение: .id-XXXXXXXX.[fire_show@tuta.io].adobe
Email: fireshow@cock.li, fire_show@tuta.io
Результаты анализов: VT + VMR

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: bitlocker@foxmail.com
Результаты анализов: VT + IA

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .pdf
Составное расширение: .id-XXXXXXXX.[3442516480@qq.com].pdf
Результаты анализов: VT + IA + VMR

Обновление от 5 ноября 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[marjut56@cock.li].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: marjut56@cock.li, marjut65@tutanota.com
Результаты анализов: VT + AR

Обновление от 6 ноября 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-DEDXXXXX.[writehere@onlinehelp.host ].harma
Email: writehere@onlinehelp.host

Обновление от 6-12 ноября 2019: 
Расширение: .rsa
Составное расширение: .id-XXXXXXXX.[rsacrypt@aol.com].rsa
Email: rsacrypt@aol.com
Результаты анализов: VT + AR

Обновление от 6 ноября 2019: 
Расширение: .RSA
Составное расширение: .id-XXXXXXXX.[rsa1024@tutanota.com].RSA
Email: rsa1024@tutanota.com
Результаты анализов: VT + VMR

Обновление от 8 ноября 2019:
Сообщение >>
Расширение: .wiki
Составное расширение: .id-XXXXXXXX.[bitlocker@foxmail.com ].wiki
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: bitlocker@foxmail.com
Результаты анализов: VT + VMR + AR
 

Обновление от 11 ноября 2019:
Сообщение >>
Расширение: .kr
Составное расширение: .id-XXXXXXXX.[blablacar@airmail.cc].kr
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: blablacar@airmail.cc
Результаты анализов: VT + VMR

Обновление от 12 ноября 2019:
Сообщение >>
Расширение: .ninja
Составное расширение: .id-XXXXXXXX.[ninja777@cock.li].ninja
Email: ninja777@cock.li
Результаты анализов: VT 

Обновление от 13 ноября 2019: 
Пост на форуме >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[veerafa@airmail.cc].bot
Email: veerafa@airmail.cc
Результаты анализов: VT + VMR

Обновление от 15 ноября 2019:
Сообщение >>
Расширение: .SySS
Составное расширение: .id-XXXXXXXX..[syspentest@aol.com].SySS
Email: syspentest@aol.com
Результаты анализов: VT

Обновление от 18 ноября 2019:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[maximum@onlinehelp.host ].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: maximum@onlinehelp.host
Результаты анализов: VT

Обновление от 20 ноября 2019: 
Топик на форуме >>
Расширение: .abc
Составное расширение: .id-XXXXXXXX.[jackadams@airmail.cc].abc
Email: jackadams@airmail.cc
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT + HA


Обновление от 22 ноября 2019:
Топик на форуме >>
Расширение: .2048
Составное расширение: .id-XXXXXXXX.[rsa2048@cock.li].2048
Email: rsa2048@cock.li, 2048rsa@tutanota.com
Записка: FILES ENCRYPTED.txt
Результаты анализов: VT + HA
➤ Содержание txt-записки: 
all your data has been locked us
You want to return?
write email rsa2048@cock.li or 2048rsa@tutanota.com


Обновление от 27 ноября 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[backdata.company@aol.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt
Email: backdata.company@aol.com
Файл: exec.exe
Результаты анализов: VT + IA + AR

Обновление от 28 ноября 2019:
Сообщение >>
Расширение: .bitx
Составное расширение: .id-XXXXXXXX.[1btc@qbmail.biz].bitx
Email: 1btc@qbmail.biz
Результаты анализов: VT

Обновление от 28 ноября 2019:
Сообщение >>
Расширение: .bot
Составное расширение: .id-XXXXXXXX.[admin@sectex.net].bot
Записки: Info.hta, FILES ENCRYPTED.txt
Email: admin@sectex.net, admin@sectex.world
Результаты анализов: VT + AR
 
---
Другие варианты с расширением: .bot
.[catchbtc797@protonmail.com].bot
.[grdoks@tutanota.com].bot
.[nmode@tutanota.com].bot
Другие email: 
catchbtc797@protonmail.com
grdoks@tutanota.com
nmode@tutanota.com, nmodes@aol.com

Обновление от 29 ноября 2019:
Сообщение >>
Расширение: .IMI
Составное расширение: .id-XXXXXXXX.[imdecrypt@aol.com].IMI
Email: imdecrypt@aol.com
Результаты анализов: VT + VMR

Обновление от 1 декабря 2019:
Расширение: ???
Составное расширение: .id-XXXXXXXX.[keyfiles@cock.li].???
Email: keyfiles@cock.li, keyfiles@tutanota.com

Обновление от 1 декабря 2019:
Расширение: .IMI
Составное расширение: .id-XXXXXXXX.[imdecrypt@aol.com].IMI
Email: imdecrypt@aol.com


Обновление от 4 декабря 2019:
Сообщение >>
Расширение: .com
Составное расширение: .id-XXXXXXXX.[helpnetin@protonmail.com].com
Email: helpnetin@protonmail.com
Результаты анализов: VT + AR

Обновление от 8 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@datastex.club].ROGER
Malware-URL: xxxp://185.222.202.218/sky/dmx777.exe  
Записки: Info.hta, FILES ENCRYPTED.txt
 
Email: admin@datastex.club
Результаты анализов: VT 
Новые обнаружения: 
DrWeb -> Trojan.Siggen8.61573
BitDefender -> Trojan.GenericKD.32788366
Kaspersky -> Trojan-Ransom.Win32.Crusis.dym
Symantec -> Ransom.Crysis
ALYac -> Trojan.Ransom.Crysis

Обновление от 10 декабря 2019:
Сообщение >>
Расширение: .asd
Составное расширение: .id-XXXXXXXX.[asdbtc@aol.com].asd
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: asdbtc@aol.com
Файл: chk_crysis_10_dec_19.exe
Результаты анализов: VT + AR + VMR

Обновление от 12 декабря 2019:
Сообщение >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[MerlinWebster@aol.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: MerlinWebster@aol.com
Файл: Statement.exe
Результаты анализов: VT

Обновление от 21 декабря 2019:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[manyfiles@aol.com].harma
Email: manyfiles@aol.com


Обновление от 22 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@spacedatas.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: admin@spacedatas.com
Результаты анализов: VT 
Новые обнаружения: 
DrWeb -> Trojan.Encoder.30407
BitDefender -> Gen:Variant.Graftor.693657
Malwarebytes -> Ransom.Crysis
ALYac -> Trojan.Ransom.Crysis
Symantec -> ML.Attribute.HighConfidence

Обновление от 23 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[admin@spacedatas.com].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt
Email: admin@spacedatas.com
Файлы: dmx777.exe, ContinuumLoosely.exe
Результаты анализов: VT + VMR + AR
Новые обнаружения: 
DrWeb -> Trojan.Encoder.30407
BitDefender -> Trojan.GenericKD.32842449

Обновление от 27 декабря 2019: 
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[whitwellparke@aol.com].harma
Email: whitwellparke@aol.com, dewitt.foxcroft@aol.com
Файл: shaofao.exe
Результаты анализов: VT


Обновление от 30 декабря 2019:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[anna.kurtz@protonmail.com].ROGER
Email: anna.kurtz@protonmail.com
Результаты анализов: VT + HA + AR

=== 2020 ===

Обновление от 2 января 2020:
Сообщение >>
Расширение: .RIDIK
Составное расширение: .id-XXXXXXXX.[recoverysql@trotonmail.com].RIDIK
Email: recoverysql@trotonmail.com

Обновление от 5 января 2020: 
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[santacrypt@aol.com].ROGER
Email: santacrypt@aol.com

Обновление от 6 января 2020:
Топик на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[cryptor6@tutanota.com].harma
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: cryptor6@tutanota.com, filemgr@tutanota.com

Обновление от 8 января 2020:
Топик на форуме >>
Расширение: .1BTC
Составное расширение: .id-XXXXXXXX.[BTC@decoding.biz].1BTC
Email: BTC@decoding.biz, Btcdecoding@foxmail.com
Записка: RETURN FILES.txt
➤ Содержание txt-записки: 
All your data is encrypted!
for return write to mail:
BTC@decoding.biz or Btcdecoding@foxmail.com

Обновление от 9 января 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[decrypt@files.mn].ROGER
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: decrypt@files.mn
Результаты анализов: VT 

Обновление от 10 января 2020: 
Расширение: .blend
Составное расширение: .id-XXXXXXXX.[helips@protonmail.com].blend
Email: helips@protonmail.com
Результаты анализов: VT + AR

Обновление от 15 января 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[testfile1@protonmail.com].harma
Email: testfile1@protonmail.com

Обновление от 18 января 2020:
Топик на форуме >>
Сообщение >>
Расширение: .LIVE
Составное расширение: .id-XXXXXXXX.[cryptlive@aol.com].LIVE
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: cryptlive@aol.com
Файл: winhost.exe
Результаты анализов: VT 
➤ Содержание txt-записки: 
YOUR FILES ARE ENCRYPTED
Don`t worry, you can return all your files!
If you want restore them, follow this link: email cryptlive@aol.com YOUR ID XXXXXXXX
If you have not been answered via link within 12 hours, write  to us by e-mail:
cryptlive@aol.com
---
➤ Ответное письмо вымогателей:
Welcome to CryptLive Support..
If you contacted us, most likely you need a decryption of files. We are ready to help you !
The cost of decrypting files is $ 1299. We accept payment at Bitcoin box office.
If you make payment within 24 hours after the first contact with us, you will be given a 15% discount. As a guarantee that we have a tool for decrypting data, you can send us 1 encrypted file up to 10 MB in size.
The decryption process is automated.
This happens as follows:
After receiving payment from you, a program is sent to scan your files. After the scan is completed, a code will be assigned to the program, you will send us this code - then we will send you a response code to decrypt the data.
Crypt live
cryptlive@aol.com
---

Обновление от 20 января 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[Myfilesback@aol.com].ROGER
Email: myfilesback@aol.com, filesback@tutanota.com.
➤ Содержание txt-записки: 
all your data has been locked us
Do you want to return?
write myfilesback@aol.com or filesback@tutanota.com.


Обновление от 22 января 2020:
Сообщение >>
Расширение: .NEWS
Составное расширение: .id-XXXXXXXX.[notgoodnews@tutanota.com].NEWS
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: notgoodnews@tutanota.com, notgoodnews@cock.li
Результаты анализов: VT + AR + VMR


Обновление от 25-26 января 2020:
Топик на форуме >>
Сообщение >>
Расширение: .wrar
Составное расширение: .id-XXXXXXXX.[supp37@cock.li].wrar
Записки: Info.hta, FILES ENCRYPTED.txt
Email: supp37@cock.li
Файл: xxx.exe
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 


Обновление от 27 января 2020:
Сообщение >>
Расширение: .2NEW
Составное расширение: .id-XXXXXXXX.[new2crypr@aol.com].2NEW
Email: new2crypt@aol.com, 2new2crypt@aol.com
Записка: FILES ENCRYPTED.txt


Обновление от 26 января 2020:
Топик на форуме >>
Расширение: .CU
Составное расширение: .id-XXXXXXXX.[cyberunion@tuta.io].CU
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: cyberunion@tuta.io, cyberunionn@protonmail.com
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email cyberunion@tuta.io or cyberunionn@protonmail.com


Обновление от 29 января 2020:
Пост на форуме >>
Расширение: .MSH

Составное расширение: .id-XXXXXXXX.[magicswordhero@aol.com].MSH
Email: magicswordhero@aol.com
Записка: FILES ENCRYPTED.txt
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email magicswordhero@aol.com

Обновление от 29-30 января 2019:
Сообщение >>
Топик на форуме >>
Расширение: .R2D2
Составное расширение: .id-XXXXXXXX.[1024back@tuta.io].R2D2
Записки: Info.hta, FILES ENCRYPTED.txt  
Email: 1024back@tuta.io
Результаты анализов: VT 

Обновление от 12 февраля 2020:
Расширение: .crown
Составное расширение: .id-XXXXXXXX.[crown_desh@aol.com].crown
Записка: FILES ENCRYPTED.txt
Email: crown_desh@aol.com
➤ Содержание записки:
all your data has been locked us
You want to return?
write email crown_desh@aol.com

Обновление от 12 февраля 2020:
Пост на форуме >>
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[devil98@tutanota.com].harma
Email: devil98@tutanota.com

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .WHY
Составное расширение: .id-XXXXXXXX.[mr.crypteur@protonmail.com].WHY
Email: mr.crypteur@protonmail.com
Результаты анализов: VT + VMR + IA

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .NEWS
Составное расширение: .id-XXXXXXXX.[notgoodnews@tutanota.com].NEWS
Email: notgoodnews@tutanota.com
Результаты анализов: VT + VMR

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .LIVE
Составное расширение: .id-XXXXXXXX.[cryptlive@aol.com].LIVE
Email: cryptlive@aol.com
Результаты анализов: VT + VMR

Обновление от 13 февраля 2020:
Сообщение >>
Расширение: .Z9
Составное расширение: .id-XXXXXXXX.[help.me24@protonmail.com].Z9
Email: help.me24@protonmail.com
Результаты анализов: VT + VMR

Обновление от 14 февраля 2020:
Сообщение >>
Сообщение >>
Сообщение >>
Расширение: .ncov
Составное расширение: .id-XXXXXXXX.[coronavirus@qq.com].ncov
Записки: Info.hta, FILES ENCRYPTED.txt
Email: coronavirus@qq.com
Известные файлы: winhost.exe, 1corona.exe
На файле написано: Compass или что-то другое. 
Результаты анализов: VT + HA + AR + IA

Обновление от 15 февраля 2020:
Сообщение >>
Сообщение >>
Расширение: .self
Составное расширение: .id-XXXXXXXX.[black@gytmail.com].self
Email: black@gytmail.com
Результаты анализов: VT + VMR + AR

Обновление от 16-18 февраля 2020:
Топик на форуме >>
Сообщение >>
Расширение: .PAY
Составное расширение: .id-XXXXXXXX.[decrypt@qbmail.biz].PAY
Записки: Info.hta, FILES ENCRYPTED.txt
Email: decrypt@qbmail.biz, bitdecrypt@cock.li
Результаты анализов: VTVMR


Обновление от 18 февраля 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[krastoken@gmail.com].ROGER
Email: krastoken@gmail.com
Результаты анализов: VT 

Обновление от 20 февраля 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[harma277@gmx.de].harma
Email: harma277@gmx.de

Обновление от 20 февраля 2020:
Топик на форуме >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[antiransomware@aol.com].ROGER
Email: antiransomware@aol.com

Обновление от 24 февраля 2020:
Расширение: .NcOv
Составное расширение: .id-XXXXXXXX.[ncov2020@aol.com].NcOv
Email: ncov2020@aol.com
Результаты анализов: VT + VMR

Обновление от 26 февраля 2020:
Сообщение >>
Расширение: .PLEX
Составное расширение: .id-XXXXXXXX.[dryidik@tutanota.com].PLEX
Email: dryidik@tutanota.com
Результаты анализов: VT

Обновление от 26 февраля 2020:
Расширение: .ROGER
Email-1: wang.chang888@tutanota.com
Email-2: wang.chang.team.888@protonmail.com

Обновление от 26 февраля 2020:
Сообщение >>
Расширение: .YKUP
Составное расширение: .id-XXXXXXXX.[ykup@tutanota.com].YKUP
Email: ykup@tutanota.com

Обновление от 27 февраля 2020:
Сообщение >>
Расширение: .8800
Составное расширение: .id-XXXXXXXX.[assonmolly5@gmail.com].8800
Записки: Info.hta, FILES ENCRYPTED.txt
Email: assonmolly5@gmail.com, helpkey@tutamail.com, andrewseals560@gmail.com
Результаты анализов: VT + AR


Обновление от 3 марта 2020:
Сообщение >>
Расширение: .rxx
Составное расширение: .id-XXXXXXXX.[back_data@foxmail.com].rxx
Email: back_data@foxmail.com
Результаты анализов: VT + VMR


Обновление от 6 марта 2020:
Сообщение >>
Расширение: .GTF
Составное расширение: .id-XXXXXXXX.[grandtheftfiles@aol.com].GTF
Email: grandtheftfiles@aol.com
Результаты анализов: VT + VMR


Обновление от 10 марта 2020:
Сообщение >>
Расширение: .Mark
Составное расширение: .id-XXXXXXXX.[mark_white@mail.ua].Mark
Email: mark_white@mail.ua
Результаты анализов: VT + VMR

Обновление от 12 марта 2020:
Расширение: .HARMA
Составное расширение: .id-XXXXXXXX.[MrRdx@cock.li].HARMA
Записки: Info.hta, FILES ENCRYPTED.txt
Email: MrRdx@cock.li, MrRDX@protonmail.com
➤ Содержание записки: 
all your data has been locked us
You want to return?
Write email MrRdx@cock.li or MrRDX@protonmail.com


Обновление от 14 марта 2020:
Сообщение >>
Расширение: .IPM
Составное расширение: .id-XXXXXXXX.[Decoding@qbmail.biz].IPM
Записки: Info.hta, FILES ENCRYPTED.txt
Email: Decoding@qbmail.biz, Cost1BTC@protonmail.com
Результаты анализов: VT + VMR
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email Decoding@qbmail.biz or Cost1BTC@protonmail.com

Обновление от 17 марта 2020:
Сообщение >>
Расширение: .ONION
Составное расширение: .id-XXXXXXXX.[onioncrypt@aol.com].ONION
Email: onioncrypt@aol.com, onion@nigge.rs
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email onioncrypt@aol.com or onion@nigge.rs

Обновление от 18 марта 2020:
Сообщение >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[fooox1@protonmail.com].ROGER
Email: ooox1@protonmail.com, fooox2@cock.li
Записка: FILES ENCRYPTED.txt
 Содержание записки: 
all your data has been locked us
You want to return?
write email fooox1@protonmail.com or fooox2@cock.li


Обновление от 19 марта 2020:
Сообщение >>
Расширение: .LX
Составное расширение: .id-XXXXXXXX.[help.crypt@aol.com].LX
Email: help.crypt@aol.com
Результаты анализов: VT 

Обновление от 20 марта 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[Thomaskey@cock.li].ROGER 
Email: Thomaskey@cock.li
Записка: FILES ENCRYPTED.txt

Обновление от 21 марта 2020:
Расширение: .N3
Составное расширение: .id-XXXXXXXX.[neuromanix@aol.com].N3
Email: neuromanix@aol.com, neuromanix@tuta.io
Записка: FILES ENCRYPTED.txt
➤ Содержание записки: 
all your data has been locked us
You want to return?
write email neuromanix@aol.com or neuromanix@tuta.io


Обновление от 28 марта 2020:
Расширение: .2020
Составное расширение: .id-XXXXXXXX.[btckeys@aol.com].2020
Email: btckeys@aol.com
Результаты анализов: VT + VMR

Обновление от 28 марта 2020:
Статья от Comodo >>
Они рассказывают о некой версии Dharma 2.0, которой на самом деле не существует. 
Вымогатели лишь кое-что добавили, не меняя сам шифровальщик. 

Обновление от 3 апреля 2020:
Сообщение >>
Расширение: .MSPLT
Составное расширение: .id-XXXXXXXX.[supermetasploit@aol.com].MSPLT
Email: supermetasploit@aol.com, supermetasploit@cock.li
Результаты анализов: VT + VMR

Обновление от 3 апреля 2020:
Расширение: .harma
Составное расширение: .id-XXXXXXXX.[Theransom@tutanota.com].harma
Email: Theransom@tutanota.com


Обновление от 22 апреля 2020 или ранее:
Сообщение >>
Расширение: .love$
Составное расширение: .id-XXXXXXXX.[im.online@aol.com].love$
Записки: FILES ENCRYPTED.txt и Info.hta
Email: im.online@aol.com, onlineim@hitler.rocks
Результаты анализов: VT + VMR
Содержание hta-записки:
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!
If you want to restore them, follow this link:email im.online@aol.com YOUR ID FA74D862
If you have not been answered via the link within 12 hours, write to us by e-mail:onlineim@hitler.rocks
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---
Содержание txt-записки:
all your data has been locked us
You want to return?
write email im.online@aol.com or onlineim@hitler.rocks
---

Обновление от 5 мая 2020:
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[anna_adm1n@aol.com].ROGER
Записки: FILES ENCRYPTED.txt, Info.hta
Email: anna_adm1n@aol.com, anna_adm1n@protonmail.com


Обновление от 18 мая 2020:
Расширение: .BANG
Составное расширение: .id-XXXXXXXX.[gangflsbang@protonmail.ch].BANG
Записки: FILES ENCRYPTED.txt, Info.hta
Email: gangflsbang@protonmail.ch, gangflsbang@cock.li


1 июня 2020: 
Расширение: .dr
Составное расширение: .id-XXXXXXXX.[dr.decrypt@aol.com].dr
Email: dr.decrypt@aol.com, dr.decrypt01@aol.com
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
write email dr.decrypt@aol.com or dr.decrypt01@aol.com

3 июня 2020: 
.id-XXXXXXXX.[admin@steldatas.com].club

4 июня 2020:
xxxxs://twitter.com/Emm_ADC_Soft/status/1268571566218018817
.id-XXXXXXXX.[openpgp@foxmail.com].pgp
Результаты анализов: VT + IA

5-7 июня: 
xxxxs://twitter.com/JakubKroustek/status/1268659479001907200
.[hitsbtc@tuta.io].FRM
VT: 70e79b7ff94bb406f6d757032702926f
---
xxxxs://twitter.com/JakubKroustek/status/1268659743083696128
.[wecanhelpu@tuta.io].wch
VT: ba7eac3f2e1f129d5201bee2abc1b850
---
xxxxs://twitter.com/JakubKroustek/status/1268660011787530240
.[admin@stelsdatas.com].club
VT: 817824ea87eea5d877fae562cfa8341d
Записка: FILES ENCRYPTED.txt, Info.hta с пиратской темой
Email: admin@stelsdatas.com, admin@stelsdatas.club


12 июня:
xxxxs://twitter.com/JakubKroustek/status/1271331234204049408
xxxxs://twitter.com/raby_mr/status/1271343303829581831
.id-XXXXXXXX.[cavefat@tuta.io].HCK
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

12 июня:
.id-XXXXXXXX.[Recovery@qbmail.biz].credo
Записки: FILES ENCRYPTED.txt, Info.hta


16 июня:
xxxxs://twitter.com/demonslay335/status/1272627310554988546
.id-XXXXXXXX.[r3ad4@aol.com].r3f5s
---
xxxxs://twitter.com/fbgwls245/status/1273239012451340290
.id-XXXXXXXX.[savebase@aol.com].base
Email: savebase@aol.com, savebase@420blaze.it
VT: 6b873b618cc8ee379862d1709e862780



23-25 июня:
xxxxs://twitter.com/demonslay335/status/1275447391093551105
.id-XXXXXXXX.[teamVI@protonmail.com].team
---
xxxxs://twitter.com/fbgwls245/status/1276356052125011974
.id-XXXXXXXX.[Recovery@qbmail.biz].credo
VT: 23225afa88a61b262ee6bfe8a0b0b9bb


28 июня: 
xxxxs://twitter.com/JakubKroustek/status/1277041426367463424
.id-XXXXXXXX.[lxhlp@protonmail.com].lxhlp
VT: 692b0126d5841e66414914c8a73bdf71

17 июля:
Пост на форуме >>
Расширение: .prnds
Email: prndssdnrp@mail.fr

19 июля:
Сообщение >>
Расширение: .HAT
Email: Zagrec@protonmail.com
Результаты анализов: VT

24 июля: 
Сообщение >>
Расширение: .PPHL
Email: pvphlp@tutanota.com
Результаты анализов: VT + VMR

29 июля: 
Сообщение >>
Расширение: .tcprx
Email: tcprx@tutanota.com
Результаты анализов: VT + VMR

30 июля: 
Сообщение >>
Расширение: .mnbzr
Email: trfgklmbvzx@aol.com
Результаты анализов: VT + VMR

31 июля: 
Сообщение >>
Расширение: .LOG
Email: Logan8833@aol.com
Результаты анализов: VT

3 августа:
Сообщение >>
Расширение: .1dec
Email: gocrypt@aol.com
Результаты анализов: VT 

4 августа:
Сообщение >>
Расширение: .WEEK
Email: week1@tuta.io

10 августа:
Сообщение >>
Сообщение >>
Расширение: .xati
Email: xatixxatix@mail.fr
Результаты анализов: VT
---
Сообщение >>
Расширение: .data
Email: recoverydata@qbmail.biz
Результаты анализов: VT + VMR + HA

10 августа:
Сообщение >>
Расширение: .GET
Email: getscoin2@protonmail.com
Результаты анализов: VT

13 августа: 
Сообщение >>
Расширение: .harma
Email: HarmaENC@Cock.li
Результаты анализов: VT
---
Сообщение >>
Расширение: .tcprx
Email: tcprx@cock.li
Результаты анализов: VT

14 августа:
Сообщение >>
Возможно, что это отдельная группа или другие вымогатели. 
Telegram: t.me/spacedatax
Email: spacedatax@gmail.com ?
Tor-URL: xxxx://dj55huaqbbsnhwngb5rgeq65ns3nteyon7wlp32gkamzs3k2ogrdr5qd.onion/
Тот же контакт в Telegram используется в атаках с LockBit Ransomware (скриншот справа).
 


15 августа:
Сообщение >>
Расширение: .Back
Email: Backdata@zimbabwe.su
Результаты анализов: VT

18 августа: 
Пост на форуме >>
Расширение: .ROGER
Составное расширение: .id-XXXXXXXX.[telegram_@spacedatax].ROGER
Tor-URL: http://dj55huaqbbsnhwngb5rgeq65ns3nteyon7wlp32gkamzs3k2ogrdr5qd.onion/chat.php
Telegram: @spacedatax

18 августа: 
Сообщение >>
Расширение: .rec
Email: enabledecrypt@aol.com
Результаты анализов: VT
---
Сообщение >>
Расширение: .Aim
Составное расширение: .id-XXXXXXXX.[Smith1@mailfence.com].Aim
Email: Smith1@mailfence.com, fun63s@protonmail.com
Результаты анализов: VT
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com
Write this ID in the title of your message 0AA58***
In case of no answer in 24 hours write us to theese e-mails:fun63s@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

19 августа:
Сообщение >>
Расширение: .abc
Email: abc@countermail.com
Результаты анализов: VT

19 августа:
Сообщение >>
Расширение: .get
Email: getthefiles@protonmail.com
Результаты анализов: VT

25 августа:
Сообщение >>
Расширение: .NW24
Email: newhelper24@protonmail.ch
---
Сообщение >>
Расширение: .gtf
Email: getthefiles2@protonmail.ch

25 августа:
Сообщение >>
Расширение: .cl
Email: cl_crypt@aol.com
Результаты анализов: VT

30 августа:
Сообщение >>
Расширение: .gold
Составное расширение: .id-XXXXXXXX.[goldmind@tuta.io].gold
Email: goldmind@tuta.io
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

4 сентября:
Сообщение >>
Расширение: .bmd
Составное расширение: .id-XXXXXXXX.[backmydata@protonmail.com].bmd
Email: backmydata@protonmail.com
Записки: FILES ENCRYPTED.txt, Info.hta
Результаты анализов: VT + VMR

8 сентября:
Топик на форуме >>
Сообщение >>
Расширение: .TEREN
Составное расширение: .id-XXXXXXXX.[databack44@tuta.io].TEREN
Записки: FILES ENCRYPTED.txt, Info.hta
Email: databack44@tuta.io, decrypt24@gytmail.com
Результаты анализов: VT
➤ Содержание txt-записки:
all your data has been locked us
You want to return?
Write email databack44@tuta.io or decrypt24@gytmail.com

Внимание!
Добавление новых вариантов переделано для уменьшения размера. Ссылки деактивированы. 
The addition of new variants has been redesigned to reduce the size of the article. The text is shortened, links are deactivated.


10-11 сентября 2020:
twitter.com/Kangxiaopao/status/1303884001430519810
twitter.com/JakubKroustek/status/1304518411301597187
.[blacklivesmatter@qq.com].blm
VT: 9fde7a5e42d55e3323cc0ef76dc06ace
---
.[decrypt@europe.com].EUR
VT: 9d919626f55b47d0766c219ba9b57d27
--- 
twitter.com/Kangxiaopao/status/1305408131296423936
.[tchukopchu@tutanota.com].chuk
VT: e4e1ff20359c4199ffaeabda00b42fee

14 сентября 2020: 
twitter.com/Kangxiaopao/status/1306496936594333696
.[aihlp24@tuta.io].AHP

17 сентября 2020: 
twitter.com/Kangxiaopao/status/1306496936594333696
.[linajamser@aol.com].lina
VT, VMR, IAf8ad5a9eef411e2d2a7112c3230976aa

28 сентября 2020: 
twitter.com/demonslay335/status/1310623040011669506
.[newhelper@cock.li].WSHLP

30 сентября 2020: 
twitter.com/JakubKroustek/status/1311421392622178304
.[freshkart@420blaze.it].fresh
VT: e065bd3d92d7026c56862d11914d10d6

1-2 октября 2020: 
twitter.com/MarceloRivero/status/1311724010158395392
.[lpe-cve@usa.com].cve
VT: ae29011f8b3506e2b70b21b67b48aa76
---
twitter.com/JakubKroustek/status/1312159851519172608
.[yourfiles1@tutanota.com].FLYU
VT: 0c4cbf1cb8e5065f8df8c8adc4f80e84

8 октября 2020: 
twitter.com/MarceloRivero/status/1314245426174926850
twitter.com/Kangxiaopao/status/1316328495945936896
.[decrypt@null.net].zxcv
VT: 0c0893f03d124384c88a439cc16a55c8
---
twitter.com/JakubKroustek/status/1314323059457826818
.[getscoin3@protonmail.com].gtsc
VT: 9ed1b7649c1c8961f2f5c2c7a328db4f
---
twitter.com/JakubKroustek/status/1314323460349480960
.[decrypttme@airmail.cc].dme
VT: 98db57569da8c50de68fb69002c069cb

8 октября 2020: 
.[White@gytmail.com].harma
Email: white@gytmail.com
Записки: Info.hta и FILES ENCRYPTED.txt


16 октября 2020: 
twitter.com/JakubKroustek/status/1317251006271455235
twitter.com/Kangxiaopao/status/1319552719321886720
.[triplock@tutanota.com].LCK
Email: triplock@tutanota.com, triplock@cock.li
VT: ccb5f3cf5b8aa911f074fedee3da8aba

17 октября 2020:
twitter.com/Kangxiaopao/status/1319540451855089664
.[panama777@tutanota].Acuf2
VT: 9424bf51ba8cf295f0ca8e19a9841f85

21-22 октября 2020:
twitter.com/MarceloRivero/status/1318979882311950336
.[blackhat@iname.com].bH4T
VT: 9c6e2271eb2c82ebf63efe18e77d3336
---
twitter.com/MarceloRivero/status/1319321802859073537
.[yourfiles1@tuta.io].YUFL
VT: 45b27ba3f368c0b94ad7f65712762db5

29-31 октября 2020:
twitter.com/Kangxiaopao/status/1324247474135916544
twitter.com/JakubKroustek/status/1321612924948041728
.[kuk1@tuta.io].kut
VT: cd4caaf3c2cee97c5fb1d276d6c13908
---
twitter.com/JakubKroustek/status/1318701527385755656
.[259461356@qq.com].259
VT: a8884f621898726f414fb4f66167142a
---
twitter.com/JakubKroustek/status/1317251446941884416
.[Decrypt@msgsafe.io].Crypt
VT: e7df5f0ec0a0443d4de7ef3368abc8ba

5-6 ноября 2020: 
twitter.com/MarceloRivero/status/1324441075747008513
.[ElvisDark@aol.com].Elvis
VT: 23a9656994b25011a2d85401f12407b8
---
twitter.com/Kangxiaopao/status/1324248078627397632
.[Qb777@tutanota.com].harma
VT: 6651235b6e93771a568ecb48a896580e
---
twitter.com/demonslay335/status/1324758013626978305
twitter.com/JakubKroustek/status/1328461134966435842
.[backup@zimbabwe.su].zimba
VT: 717c8741579ff0be4e408a13d1c96b5b

12 ноября 2020:
.[hmdjam@protonmail.com].harma

16 ноября 2020:
twitter.com/JakubKroustek/status/1328458376418897931
twitter.com/MarceloRivero/status/1328481936415879169
.[m5b92n5p1@mail.com].sss
VT: 8368ad17a88e93a6a78dfe1ca434f2c1
---
twitter.com/JakubKroustek/status/1328462439164342273
.[linas89@aol.com].help
VT: b8b9835cf62fd428519f9ad680677c73
---
twitter.com/JakubKroustek/status/1328457407375216640
.[decryptex@airmail.cc].dex
VT: 9dfcd5165fcbf89e319ceca3f5077490

18 ноября 2020:
twitter.com/Kangxiaopao/status/1328907504982450176
twitter.com/JakubKroustek/status/1333146491460984838
.[zinnik321@cock.li].ZIN
VT: e874441b0e0c0fa908b9ee2b4fcc91e9

20 ноября 2020:
twitter.com/Kangxiaopao/status/1329686814957871104
twitter.com/JakubKroustek/status/1329909329097584641
.[eusa@tuta.io].SWP
VT: e03b110220a00b3a377ccf0b0d8969f9
---
twitter.com/JakubKroustek/status/1329904107583397889
.[patrik008@tutanota.com].cvc
VT: c5da72bf3b48ab6b768e9cc0556619f8

29 ноября 2020:
twitter.com/JakubKroustek/status/1333147102902411266
.[kjingx@tuta.io ].SUKA
VT: 2d2a721be6290325388f0c911101f557

15 декабря 2020:
twitter.com/JakubKroustek/status/1338994027853701122
.[metasploit@post.com].msf
Записки: FILES ENCRYPTED.txt, Info.hta
Email: metasploit@post.com, metato3sploit@gobv2.eu
VT: d9f8a75a649e2b580fb57603b92d7ae1
---
twitter.com/JakubKroustek/status/1338994874906013697
.[datafiles@waifu.club].lock
VT: 70793ac200180fb319c4d1a57f5a6ff4

18-19 декабря 2020: 
twitter.com/Kangxiaopao/status/1342309535784919041
.[21btc@cock.li].21btc 
VT: 0973796db7ceb79da48b8f93c882e96c
---
.[meterpreter@null.net].mpr
VT: dd2189e382d60b6db8345cd59191f61c  
---
twitter.com/JakubKroustek/status/1340088669730947074
.[1btc@cock.li].21btc
VT: 0973796db7ceb79da48b8f93c882e96c

19 декабря 2020:
twitter.com/fbgwls245/status/1363683976037101574
.[rassupport@cock.li].bk
Записки: FILES ENCRYPTED.txt, Info.hta
  


22 декабря 2020:
twitter.com/JakubKroustek/status/1341150084642312193
.[getacrypt@tuta.io].gac
VT: d4f167bf8e83fc39e1df1fe35984f31a

27 декабря 2020:
twitter.com/JakubKroustek/status/1343323132069892098
.[hlper4y@tutanota.com].4help
VT: 4d5340567483a117456b9cf93b437874
---
.[consolemsf@aol.com].msf


=== 2021 ===

7 января:
.[yourfiles1@cock.li].yoAD
Записки: FILES ENCRYPTED.txt

9 января 2021:
twitter.com/JakubKroustek/status/1348230044783702017
.[axitrun@cock.li].14x
VT: ca0addfe1e2c58cb30c26f12238ddc20

10 января: 
twitter.com/JakubKroustek/status/1348229447720329216
.[crypthub@tuta.io].hub
VT: 183042986d2951855765ee16e6725e41
---
twitter.com/JakubKroustek/status/1348229751715082241
.[astra2eneca@aol.com].aol
Email: astra2eneca@aol.com, bluekeep@aol.com
VT: 23d06e9225b8b6a3fbdcbc1c98b36fc0

12 января: 
.[trizvani@aol.com].harma
Записки: FILES ENCRYPTED.txt, Info.hta

18 января: 
twitter.com/JakubKroustek/status/1350959017993121797
.[decrypt@disroot.org].dis
VT: 5c46eaec7e173ea4a4e12feefb0d461c

26 января: 
twitter.com/Kangxiaopao/status/1354676679386402816
.id-XXXXXXXX.[ggg666999@goat.si].ROGER
VT: b0f85a9060020fabaa83ebe0b9ab4c66

30 января: 
twitter.com/raby_mr/status/1355082505209040896
.[yourfiles1@cock.li].NOV
Email: yourfiles1@cock.li, tcprx@tutanota.de
VT: 8d84df31c8b92febddeca8c6f04c5d54

1 февраля: 
.[22btc@tuta.io].22btc

2-3 февраля
twitter.com/JakubKroustek/status/1356664120486068225
.[22btc@tuta.io].22btc
VT: 52dc280ad394708931af17f22dd1b979
---
twitter.com/JakubKroustek/status/1356663052205232128
.[Avaaddams@msgsafe.io].Avaad
VT: bda1d4fe5e62cbc119dff09037c97251
---
twitter.com/JakubKroustek/status/1356663410168123392
.[wannacry@msgsafe.io].crypt
VT: 0805784945c3f177edf45376a41a3d32
---
twitter.com/JakubKroustek/status/1357128319930630145
.[TomLee240@aol.com].TomLe
VT: 47576351e4b2aaab86be6013eb20324c

9-11 февраля: 
twitter.com/JakubKroustek/status/1359257665248108547
.[helpdecrypt@msgsafe.io].text
VT: 81f5115bc680611f71c63ddefe96089b
---
twitter.com/JakubKroustek/status/1359256244654133249
.[con3003@msgsafe.io].con30
VT: 51f872c29983b00142f84e3d41036f7a
---
twitter.com/JakubKroustek/status/1359646484594102276
.[paymei@cock.li].LOTUS
VT: eb6ff35705db2eb895fcf57269bd89fe
---
twitter.com/JakubKroustek/status/1359255867548463104
.[btc11@gmx.com].wcg
VT: 20b1c7ebeac0f0726ededdbe364d823e
---
twitter.com/JakubKroustek/status/1359646135464452100
.[vm1iqzi@aol.com].word
Записка: RESTORE_FILES_INFO.txt
VT: e97f3f75d2445e653715c51fc3bdb293

12 февраля: 
.[payforkey@firemail.cc].ROGER
---
twitter.com/JakubKroustek/status/1363645755551084546
.[carbanak@aol.com].pauq
VT: 8d6a72bd4d8daee71db92f8b1655030e

22 февраля 2021:
twitter.com/JakubKroustek/status/1363898276156686338
.[lizardcrypt@msgsafe.io].four
VT: 3d8e0d85865bf1b617e790b34aa5ad8c

23 февраля 2021:
twitter.com/JakubKroustek/status/1366541990725304320
.[necurs@aol.com].urs
VT: 64e210643eada76d4891eceac01ead42

24 февраля 2021:
twitter.com/JakubKroustek/status/1364732330506616837
.[coleman2021@aol.com].clman
VT: 31c13a1b085b0fc1e8d5573044dd58b4

1 марта 2021:
.[oral@tuta.io].ORAL
VT: 46c995b77a3e6d06cd17bba0589a265f
---
.[restore_data@gmx.de].harma

6 марта
twitter.com/JakubKroustek/status/1368338402739970053
.[JessyMail26@aol.com].Jessy
VT: d4323c08e880637f4656b3697aa697b6

7 марта
twitter.com/JakubKroustek/status/1368646748382576642
.[embog@firemail.cc].ROG
VT: 8f9ab25d2ae627c45c05fcb0b0b8b4fe

11 марта
twitter.com/JakubKroustek/status/1370152896919126016
.[biden@cock.li].biden
VT: 36f3b91b2a6a25482768e7d2879d1f1d
---
twitter.com/JakubKroustek/status/1370153171578945540
.[filerecovery@zimbabwe.su].eofyd
VT: beefefa7478b79f9312e1169bd3335a2
---
twitter.com/JakubKroustek/status/1370153507483967488
.[dokulus@tutanota.com].duk
VT: e73005fdcdab41700a204f4908faf616

12 марта
twitter.com/JakubKroustek/status/1370509828238544907
.[filerecovery@zimbabwe.su].LAO
VT: 3f11696b9c13e02c119e9866c4b16530
---
twitter.com/JakubKroustek/status/1370510190378909710
.[brokendig@zimbabwe.su].pirat
VT: b06749345417710a0cbb52d600a93b08

17 марта
twitter.com/JakubKroustek/status/1371966419248816129
.[lizardcrypt@tuta.io].liz
VT: 1f8f2f78aed398b5b4c407f28d1bac04

23 марта
.[unlockodveta@gmail.com].harma
---
.[badhach@aol.com].bqd2
VT: 2901f8252abb41366502907ffdeab557

2 апреля
twitter.com/JakubKroustek/status/1377698699208499203
.[godecrypt@onionmail.org].4o4
VT: a8bf69c01f1ebebc8c28c4962650733c
---
.[catapultacrypt@tuta.io].ctpl
VT: 1472ee058aede06125f5a52a1dfea5a9

5 апреля
.[godecrypt@onionmail.org].4o4

12 апреля
twitter.com/Kangxiaopao/status/1381564710437330949
.[datahelp@techmail.info].error
VT: b868c8e4eec4f53602de1a2caa517bdb
---
.[goldmind@tuta.io].gold
VT: aef771cc4e0326999be13c719ce8feab
---
twitter.com/Kangxiaopao/status/1381566968147271680
[zphc@cock.li].zphs
VT: 7daf9cbaab744b12de815f9530885a35
---
twitter.com/Kangxiaopao/status/1381569293473603586
.[backdata@qbmail.biz].back
VT: 938756c9d0f9c752c7d1b889e3343a2d

12 апреля: 
.[decryptioner@airmail.cc].harma
Email: decryptioner@airmail.cc, Decryptioner@uncryptfile.com
Записка: FILES ENCRYPTED.txt

21 апреля:
twitter.com/JakubKroustek/status/1384791698983866370
.[2021@onionmail.org].2122
VT: 80edeb6300b4bb17052e0032b8b41912
---
.[hpjar@keemail.me].HPJ
VT: b53c901068b57dcc17d4186de1b44a5c

24 апреля:
twitter.com/fbgwls245/status/1385756024456441861
.[bad_dev@tuta.io].bdev
Записки: info.txt, Info.hta
Email: bad_dev@tuta.io, bad.dev@onionmail.org
VT: 1935185051c225c096396bffbd7b5a34
VT: b35c0b207320d93d0589eb15dcbab440


27 апреля: 
.[restore_data@gmx.de].harma
Записка: Info.hta
Email: restore_data@gmx.de, restore_data2@mein.gmx
Файл: DesktopTuner.exe
Результаты анализов: VT + AR + IA
Идентификация: Dharma, Dharma
Это определяется как Dharma, email и расширения тоже его, но образец похож на PewPew. Майкл Гиллеспи подтвердил, что это Dharma. 


27 апреля:
twitter.com/fbgwls245/status/1387287986799140864
.[dagsdruyt@onionmail.org].cum

28 апреля + 15 мая: 
twitter.com/JakubKroustek/status/1393662583601836034
.[eye@onionmail.org].eye
Записка: FILES ENCRYPTED.txt
Email: eye@onionmail.org. 1337@onionmail.org
VT: d0b1f4517d4f5781b5c6f3b56ea92c6

30 апреля: 
twitter.com/fbgwls245/status/1388080288509661188
.[datahlp@tuta.io].dhlp

16-17 мая:
.[paymei@cock.li].LOTUS
Email: paymei@cock.li, paymei@msgsafe.io


19 мая:
twitter.com/JakubKroustek/status/1395117408004808711
.[getdecrypt@disroot.org].root
VT: 14bc92802abf4cc0c2c2dc9d36e709cb

21 мая: 
.[2021@onionmail.org].2122
Запсика: FILES ENCRYPTED.txt
Email: 2021@onionmail.org, 2022@onionmail.org


23 мая:
twitter.com/JakubKroustek/status/1396568741090054145
.[rdphack@onionmail.org].rdp
VT: b2eff93d16267edd3817eee2a40c7eee

30 мая:
twitter.com/fbgwls245/status/1399164099401949191
.[delta@onionmail.org].DELTA
VT: 127bebd839df1d611946f8f780b65900

3 июня: 
twitter.com/JakubKroustek/status/1400452505662754816
.[partydog@msgsafe.io].PARTY
VT: 598aa2752699937758727a28d8335c0e
---
twitter.com/JakubKroustek/status/1400451303617171470
.[cryptoncrypt@tuta.io].cnc
VT: e35eb226284a1981e56a1d4130240daa

7 июня:
twitter.com/pcrisk/status/1402125162732998667
.[honestly@tutanota.com].ZIG
VT: b6dfd0c9aa96d461b8f80b8ba5b6fbaa

23 июня: 
twitter.com/JakubKroustek/status/1407694379649748993
.[nomanscrypt@tuta.io].nmc
VT: 811d527a68711ce66fac8e2e4bf76a46
---
.[Zeus1@msgsafe.io].ZEUS
VT: e1f0a8b99faf126e766a0c3b0dd9f9ee

19 июня: 
twitter.com/pcrisk/status/1406837183496048641
.[khfsuca@protonmail.com].pr09
VT: d5c80a151582a95c7307f9cbd4126e01

24 июня:
.[projectblack@criptext.com].PB
Записка: FILES ENCRYPTED.txt
Email: projectblack@criptext.com, projectb@onionmail.org

9 июля:
www.bleepingcomputer.com/forums/t/754560/
twitter.com/JakubKroustek/status/1418685927510138884
.[datos@onionmail.org].DT
Email: datos@onionmail.org, datos@msgsafe.io
VT: ae02ba6ad6ff9267a96d372c06f797a9

14 июля:
twitter.com/pcrisk/status/1415192236996890624
.[pcstuntman@onionmail.org].PcS
VT: fcc24064401afc12c33b38f40b82f139

14 июля:
twitter.com/pcrisk/status/1415533204698710016
.[python100@tutanota.com].pause
VT: d9539037d3a05a7d98432b94441263aa

15 июля:
twitter.com/pcrisk/status/1415644260007923714
.[tiocapvbu@aol.com].OFF
VT: 1ad65ad9cb2e23f0174ac91dbaa8af8c

20 июля:
twitter.com/pcrisk/status/1417735315930947584
.[grejkugulik@onionmail.org].grej
VT: efb7d5d9f771998280a53e1ccc7d4e62
---
twitter.com/pcrisk/status/1417735240618070018
.[***].myday 
VT: be0117004d25c73a3529695c76ac5c4d

23 июля: 
twitter.com/JakubKroustek/status/1419424755036340226
.[cryptodancer@onionmail.org].dance
VT: 2a1a758f2330c09aa9e9bcfc78364782

30 июля: 
twitter.com/JakubKroustek/status/1421004817577783297
.[todecrypt@disroot.org].TOR
VT: efdcd5add82fcf68e4bd8793256cca13

2 августа: 
twitter.com/pcrisk/status/1422420913480404994
.[p1gansta1p@aol.com].GanP
Записка: Info.hta
Email: p1gansta1p@aol.com, GPARADISE@TUTA.IO
VT: 2e9483c4981f7a43b6633455a14b0d6c


5 августа: 
twitter.com/JakubKroustek/status/1423310941236736003
.[clean@onionmail.org].CLEAN
VT: d47ae65101246175a47fa20a70660c76

6 августа:
twitter.com/pcrisk/status/1424599779812708356
.[bidencrypt@onionmail.org].JRB
VT: a84a6eb91596296f87c39b5ea5dbc271

8 августа:
.[lockfilters@zohomail.eu].filters

17 августа:
twitter.com/JakubKroustek/status/1427718108601622530
.[c0v1d19@job4u.com].c0v

22 августа:
twitter.com/pcrisk/status/1429692118331797504
.[dts1024@tutanota.com].dts
VT: 0d9cf783e5a31334e51cd8a70f1580e6

25 августа
twitter.com/pcrisk/status/1430791036721410049
.[yourfiles1@cock.li].TCYO
VT: e8d36fe985ccf14fc4bcd2f2bc8c81a7

25 августа
twitter.com/pcrisk/status/1430780682528296966
.[6ix9@asia.com].6ix9
Записки: FILES ENCRYPTED.txt, Info.hta
Email: 6ix9@asia.com, 9ix6@usa.com
VT: b9750a01692e2c7bfecb9ca076d9b119

26 августа: 
twitter.com/pcrisk/status/1431138304850862080
.[ghostdog@onionmail.org].RZA
VT: 4523ab3e6685e7052cd568253c0108ce


*** пропущенные варианты ===

2 ноября:
twitter.com/fbgwls245/status/1455462002571165704
.[crpt4mn@onionmail.org].MS
Записки: Info.hta, MANUAL.txt
Email: crpt4mn@onionmail.org, crpt4mn@msgsafe.io
VT: b75251731b56827c342c99aa971ba08f



17 декабря: 
twitter.com/fbgwls245/status/1471842611044696071
.[code1024@keemail.me].C1024
Записки: info.txt, info.hta
VT: ea5b39f4ae5947c5f8e1ac7611f850d2

---
Эта страница перегружена, поэтому я приостанавливаю добавление новых вариантов.
Следите за новыми вариантами в Твиттере 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Для трёх семейств Dharma (.dharma, .wallet, .onion) можно дешифровать файлы. 
Статья про версию с расширением .dharma >>
Статья про версию с расширением .wallet и .onion >> 
Kaspersky RakhniDecryptor для расшифровки некоторых версий >>
Дешифраторы от Kaspersky, ESET, Avast для дешифровки ранних версий:
KasperskyRakhniDecryptor (обновлен для поддержки новых версий)
EsetCrysisDecryptor
AvastDecryptorCrysis
Расшифровка только поддерживаемых расширениий. Более новые — нет.
Попробуйте сначала тест-расшифровку небольшого числа файлов. 
К сожалению, для других семейств нет дешифровщиков.
Если дешифровка будет возможна, мы сообщим здесь.
***
 Read to links: 
 Topic on DC, Video review
 ID Ransomware (ID as Dharma: .dharma, .wallet, .onion, .cezar)
 Write-up on BC, Write-up on BC (add. May 18, 2017)
 Thanks: 
 Michael Gillespie, Lawrence Abrams, quietman7
 R0bert R0senb0rg, Jakub Kroustek
 Alex Svirid, GrujaRS, Mihay Ice, GrujaRS
 Emmanuel_ADC-Soft, Barmalej 
 ...и другим, кто дополняет информацию. 

© Amigo-A (Andrew Ivanov): All blog articles.


среда, 16 ноября 2016 г.

Angela Merkel

Angela Merkel Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1200€ в биткоинах за ключ дешифрования, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .angelamerkel

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана с фотографией Ангелы Меркель.

Содержание записки о выкупе:
ALL YOUR FILES ARE ENCRYPTED
PAY 1200€ IN BTC TO MY WALLET TO GET YOUR DECRYPTION KEY
DONT KNOW WHERE TO BUY BITCOIN THEN GO TO LOCAIBITCOINS.COM

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Оплатите 1200 € в BTC на мой кошелек, получите ключ дешифрования
Не знаете, где купить Bitcoin,  тогда следуйте на Locaibitcoins.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

По окончании шифрования выходит диалоговое окно с фразой на немецком:
Angela Merkel hat dich infected

Перевод: 
Ангела Меркель заразила вас

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Chrome.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)
 *
 Thanks: 
 MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLuck

CryptoLuck Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует загрузить Decryptor Wizard, чтобы оплатить выкуп в 0,7 - 2,1 биткоина, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Название дано от добавляемого расширения. Другие названия: YafunnLocker и Luck Ransomware. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<hex_id>_luck
Этот шаблон можно записать так: file_name.[A-F 0-9]{8}_luck

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
 Пример зашифрованных файлов и записка о выкупе

Записки с требованием выкупа называются:
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt, например, 
@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt, или 
@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt

Содержание записки о выкупе:
ATTENTION !
YOUR PERSONAL FILES ARE ENCRYPTED!
PERSONAL ID: 04FF8160
Your important files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
If you see this text but don't see Decryptor Wizard window - please, disable any Firewalls and antivirus products, and download Decryptor Wizard on this URL: hxxx://dropmefiles.com/304718
You have 72 hours for payment.
After this time the private key will be destroyed.
For more info and support, please, contact us at this email address:
YAFUNN@YAHOO.COM

Перевод записки на русский язык:
ВНИМАНИЕ!
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
ПЕРСОНАЛЬНЫЙ ID: 04FF8160
Важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048 созданного для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Если вы видите этот текст, но не видите окно Decryptor Wizard - пожалуйста, отключите все брандмауэры и антивирусные продукты, и загрузите Decryptor Wizard с этого адреса hxxx://dropmefiles.com/304718
У вас есть 72 часа для оплаты.
После этого времени закрытый ключ будет уничтожен.
Для инфы и помощи, пожалуйста, напишите нам по этому email:
YAFUNN@YAHOO.COM

Есть другая версия записки о выкупе, где текст тот же, но вместо загрузки декриптора предлагается сразу перевести деньги на биткоин-кошелек. Почта: bortanofe@hotmail.com


Информатором жертвы, кроме текстовой записки о выкупе, выступают также скринлок, встающий обобями рабочего стола и блокировщик экрана, он же упомянутый в тексте Decryptor Wizard.



У разных жертв замечены разные email вымогателей:
YAFUNN@YAHOO.COM
FRAMOZES@YANDEX.RU
bortanofe@hotmail.com
Возможно, что есть и другие адреса. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (в данном случае с помощью набора эксплойтов RIG-E), фальшивых обновлений, перепакованных и заражённых инсталляторов.
ПК жертв заражается с помощью подписанного файла GoogleUpdate.exe.


См. также "Основные способы распространения криптовымогателей" на вводной странице блога

В систему вредонос устаналивается с помощью самораспаковывающегося архива (RAR SFX), в котором содержатся следующий файлы: crp.cfg, GoogleUpdate.exe, goopdate.dll. Файлы будут извлечены в директорию %AppData%\76ff, а файл GoogleUpdate.exe будет автоматически выполнен, согласно заданным в SFX-файле инструкциям, затем для работы он использует вредоносный файл goopdate.dll. 


Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpd, .mpp, .mpqge, .mrwref, .msg, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdc, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (237 расширений).

Среди них документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр. Теневые копии файлов после шифрования удаляются. 

При шифрововании пропускаются файлы, расположенные в следующих директориях:
Windows, Program Files,Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin, Cookies

Файлы, связанные с этим Ransomware:
<random_name>.exe
%TEMP%\<random_name>.tmp
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt и пр.
%AppData%\info_[vicitm_id].info
%AppData%\76ff\
%AppData%\76ff\crp.cfg
%AppData%\Roaming\76ff\GoogleUpdate.exe
%AppData%\76ff\GoogleUpdate.exe
%AppData%\76ff\goopdate.dll
%APPDATA%\76ff\goopdate.bak
%AppData%\ <random_chars>_04FF8160.qr.png
 info_04FF8160.info

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe   %AppData%\76ff\GoogleUpdate.exe
HKCU\Software\sosad_[victim_id]

Сетевые подключения:
hxxx://two.investigatorhk.top
hxxx://pandares.top/two/index.php (162.144.180.55:80, США)
hxxx://dropmefiles.com/304718
hxxx://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUr***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (ID as CryptoLuck)
 *
 Thanks: 
 Jack (malwareforme)
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 15 ноября 2016 г.

Crypton

Crypton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью схеиы AES + RSA, а затем требует выкуп в биткоинах от 0,2 до 2 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в коде программы.



Этимология названия
1. Crypton — алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ длиной до 256 бит), разработанный в 1998 году. Конструкция алгоритма опирается на алгоритм SQUARE. При шифровании используются ключи шифрования нескольких фиксированных размеров — от 0 до 256 бит с кратностью 8 битов. 
2. В комиксах, фильмах и мультипликации Криптон (Krypton)  родная планета Супермена.

© Генеалогия: Crypton > X3M, Nemesis

К зашифрованным файлам добавляется расширение _crypt 
Так файл image.png станет файлом image_crypt.png

Анализ показал, что сначала в проекте было расширение .crypt, но потом его заменили на _crypt

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа написана на русском и английском языках. 
В каждой папке размещается текстовый файл readme_encrypted.txt, в котором всего одна строка текста на английском и русском, и ID. 



Другим информатором выступает блокировщик экрана, который появляется на русском или английском языке. 

Содержание текста о выкупе на русском:
Внимание!
Ваши данные зашифрованы!
Для расшифровки ваших данных, вам необходимо оплатить указанную ниже сумму.
Обратите внимание, что подтверждение платежа может занять какое то время (от 1 часа до 1 дня).
Все это время программа должна быть запущена, и иметь соединение с интернет.
После успешного подтверждения платежа - расшифровка запустится автоматически.
Подробнее о том как произвести оплату с помощью Bitcoin можно найти в сети internet.
Наример можно воспользоваться сервисом хттпs://xchange.cc/visa-mastercard-rur-to-bitcoin.html ...
Крайне не рекомендуется пытаться самостоятельно восстановить данные, или удалять эту программу! Это может привести к полной потере ваших данных навсегда! Для восстановления данных необходимо подключение к интернет.
Текущий статус:
Bitcoin адрес: ***
Сумма к оплате: *** BTC по курсу в валюте 
Проверить статус платежа

Содержание текста о выкупе на английском:
Attention!
All data on you PC is encrypted!
To decrypt your data, you need to pay the amounts shown below.
Please note that the payment confirmation may take some time (from 1 hour to 1 day).
All this time, the program must be running and have an internet connection.
After the successful confirmation of payment - decoding will start automatically.
Read more about how to make a payment using Bitcoin can be found on the internet network.
In destination address - specify the Bitcoin address, listed below.
Keep in mind that the services may charge a fee for the payment, it is important that we must ...
It is not recommended to attempt to recover the data, or remove this program! This can lead to a complete loss of your data forever! To restore data, you must be connected to the Internet.
Status:
Bitcoin address: ***
Payment amount: ***
check payment status


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

На ПК попадает файл-дроппер (см. ниже результаты анализа). 

Запустившись в первый раз шифровальщик создает копию себя в директории %AppData%\crypton.exe

На рабочем столе создаются следующие файлы: 
%Desktop%\[RUSSIAN CHARACTERS].rtf
%Desktop%\Tatiana_Photo2016\Print_01.jpg
%Desktop%\Tatiana_Photo2016\Print_02.jpg
%Desktop%\Tatiana_Photo2016\Print_03.jpg
%Desktop%\Tatiana_Photo2016\Print_04.jpg
%Desktop%\photo_tatiana2016.jpg

Список файловых расширений, подвергающихся шифрованию:
.7z, .cd, .cdr, .dat, .db, .dbf, .dbx, .doc, .docx, .htm, .html, .jpg, .mdb, .mht, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .rtf, .tbb, .tbn, .tiff, .txt, .vsd, .xls, .xlsx, .xml, .zip (31 расширение). 

Файлы, связанные с Crypton Ransomware:
[Encrypted_folder_name]\readme_encrypted.txt
%AppData%\crypton.exe
Crypton.exe - исполняемый файл вымогателя
Dloader_exe.exe - дроппер

Записи реестра, связанные с Crypton Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"crypton" = "%AppData%\Crypton.exe" - запись для автозагрузки
HKEY_CURRENT_USER\Software\Crypton\"mail" = "<Malware_file_name>.exe"
HKEY_CURRENT_USER\Software\Crypton\"lang" = "ru"
См. ниже гибридный анализ

Сетевые подключения и связи:
хттп://in.uniclever.net/  (109.201.142.56:80 Нидерданды)
хттп://in.uniclever.net/init
srv1.uniclever.net
srv2.uniclever.net
xchange.cc/visa-mastercard-rur-to-bitcoin.html

Примечательно, что по адресу in.uniclever.net грузится изображение Оскара Уальда. 

Результаты анализов:
Гибридный анализ >>
Гибридный анализ на дроппер >>
VirusTotal анализ >>
VirusTotal анализ на дроппер >>
Symantec: Ransom.Crypton >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypton)
 Write-up, Support Topic
 *
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Karma

Karma Ransomware 

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: KARMA, #karma Ransomware. Создатель: SAFFRON-WOLF

© Генеалогия: Cerber? > Karma
Это изображение логотип статьи

К зашифрованным файлам добавляется расширение .karma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html


Содержание записки о выкупе:
KARMA
Is the content of the files that you looked for not readable?
It is normal because the data in your files have been encrypted.
Great!!!
You have turned to be a part of a big community #karma Ransomware.
Continue reading because this is the only way out.
!!! If you are reading this message it means the software
!!! "karma Ransomware" has been removed from your computer.
What is encryption?
Encryption is a reversible modification of information for security
reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely
reversible (in other words to have a possibility to decrypt your files)
you should have an individual private key.
But not only it.
It is required also to have the special decryption software
(in your case "karma Decryptor" software) for safe and complete
decryption of all your files and data.
Everything is clear for me but what should I do?
The first step is reading these instructions to the end.
Your files have been encrypted with the "karma Ransomware" software; the
instructions ("# DECRYPT MY FILES #.html") on the desktop
with your encrypted files is not a virus, it will help you.
After reading this text the most part of people start searching in the
Internet the words "karma Ransomware" where they find a lot of
ideas recommendations and instructions... 

Перевод записки на русский язык:
KARMA
Является ли содержание файлов, которые вы искали нечитаемым?
Это нормально, потому что данные в файлах были зашифрованы.
Отлично!!!
Вы стали частью большого сообщества #karma Ransomware.
Продолжите чтение, потому что это единственный выход.
!!! Если вы читаете это сообщение, значит программное обеспечение
!!! "Карма Вымогателей" была удалена с вашего компьютера.
Что такое шифрование?
Шифрование представляет собой обратимое изменение информации по соображениям безопасности, но обеспечивая полный доступ к нему для авторизованных пользователей.
Чтобы стать авторизованным пользователем и сохранить изменения абсолютно обратимыми (другими словами, чтобы иметь возможность дешифровать файлы), вы должны иметь индивидуальный секретный ключ.
Но не только это.
Необходимо также иметь специальное программное обеспечение дешифрования (в вашем случае программа "karma Decryptor") для безопасной и полной расшифровки всех ваших файлов и данных.
Все ясно для меня, но что я должен делать?
Первый шаг - это дочитать эти инструкции до конца.
Ваши файлы были зашифрованы с программным обеспечением "karma Ransomware"; инструкции ("# DECRYPT MY FILES #.html") на рабочем столе с вашими зашифрованными файлами не являются вирусом, это поможет вам.
После прочтения этого текста большая часть людей начинает искать в Интернете слова "karma Ransomware", где они находят много идей рекомендаций и инструкций...

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, а также под видом легитимного и полезного ПО, в данном случаем TuneUp для Windows. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Вымогатель маскируется по программу оптимизации системы. Веб-страница выглядит так, как будто представляет легитимное ПО. 


После того, как пользователь загрузит и установит эту подделку, он увидит, что программа якобы выполняет оптимизацию. 


На самом деле в этот момент она молча шифрует данные на компьютере и поключенных к нему внешних и сетевых дисках. Пока не будет показана записка с требованием выкупа от Karma Ransomware, жертва не знает, что её обманули и компьютер полчил серьезную проблему.

Вымогатель создаёт задание планировщика с названием pchelper и запускает файл Windows-TuneUp.exe всякий раз, чтобы шифровать данные, пока жертва видит окно фальшивого оптимизатора. 


Хорошей новостью является то, что деятельность Karma Ransomware длилась недолго и его C&C-сервер уже отключен. Поэтому, даже если этот вымогатель всё ещё где-то распространяется, то файлы на ПК жертвы не пострадают.

При шифровании пропускаются все папки, находящиеся по следующим адресам:
\$recycle.bin\
\$windows.~bt\
\boot\
\drivers\
\program files\
\program files (x86)\
\programdata\
\users\all users\
\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3gp2, .3gpp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdu, .accdw, .ace, .ach, .acr, .act, .adb, .ade, .adn, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arj, .arw, .asax, .ascx, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asset, .asx, .atb, .au, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .bz, .bz2, .c, .caf, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .cshtml, .csl, .csproj, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .dochtml, .docm, .docx, .docxml, .dot, .dothtml, .dotm, .dotx, .drf, .drw, .dsw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .fdf, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fs, .fsi, .fsproj, .fsscript, .fsx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .htaccess, .html, .htpasswd, .ibank, .ibd, .ibz, .idx, .iff, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .ipsw, .iqy, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lha, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .lzh, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .master, .max, .mbx, .md, .mda, .mdb, .mdc, .mdf, .mdp, .mdt, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp2, .mp2v, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpg, .mpga, .mpv, .mpv2, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .onepkg, .onetoc, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pdfxml, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .pothtml, .potm, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .ppthtml, .pptm, .pptm, .pptx, .pptxml, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .pwz, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r00, .r01, .r3d, .raf, .ram, .rar, .rat, .raw, .rax, .rdb, .re4, .resx, .rm, .rmm, .rmvb, .rp, .rpt, .rt, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .settings, .sh, .sldm, .sldx, .slk, .slm, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tax, .tbb, .tbk, .tbn, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .utorrent, .vb, .vbe, .vbhtml, .vbox, .vbproj, .vbs, .vcf, .vcproj, .vcs, .vcxproj, .vdi, .vdx, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .vsix, .vss, .vst, .vsx, .vtx, .wab, .wad, .wallet, .war, .wav, .wb2, .wbk, .web, .wiz, .wm, .wma, .wmf, .wmv, .wmx, .wpd, .wps, .wsf, .wvx, .x11, .x3f, .xdp, .xis, .xla, .xla, .xlam, .xlk, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb, .xlshtml, .xlsm, .xlsm, .xlsx, .xlt, .xltm, .xltm, .xltx, .xlw, .xlw, .xml, .xps, .xslt, .xxx, .ycbcra, .yuv, .zip (566 расширений). 

Файлы, связанные с Karma Ransomware:
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
Windows-TuneUp.exe
<ransom_name_hex_chars>.exe

Записи реестра, связанные с Karma Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer "auth"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Saffron"= "%Desktop%\\# DECRYPT MY FILES #.html"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Safron"= "%Desktop%\\# DECRYPT MY FILES #.txt"

Сетевые подключения:
hxxx://windows-tuneup.com/web293/xUser.php
hxxx://karma2xgg6ccmupd.onion

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Karma)
 Write-up on BC
 *
 Thanks: 
 slipstream/RoL (TheWack0lian)
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *