Cancer

Cancer Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Название оригинальное. Фальш-имя: VirusTotal.exe

© Генеалогия: выясняется.

К фейк-зашифрованным файлам и папкам добавляется расширение .cancer

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Обои заменяются на изображение ewwwwww~cancer.png от вымогателей с надписями по экрану "I HAVE CANCER".

Cancer UAC не обходит. При получении доступа ищет и завершает процессы, которые содержат любую из следующих строк: 
alarm, anti, antivirus, av, avast, avg, avira, cheat, cheatengine, clam, cloud, comodo, dbg, debug, debug, defend, dumpcap, engine, eset, falcon, f-secure, hunter, IDAq, idaq, immunity, kasp, malware, malwarebytes, monitor, nod, norton, OllyDbg, panda, protect, qihoo, quard, regshot, root,  Sandboxie, SandboxieDcomLaunch, SandboxieRpcSs, secur, secure, shark, spy, strike, vmtool, vmtools, vmware, zone.

Убедившись, никакая защита не может его обнаружить и остановить, этот вредонос начинает свистопляску на вашем компьютере, открывая и закрывая в бешеном темпе множество разных окон с процессами, одновременно запустив анимационное троллирование. 

 

Затем переименовывает диск C: в "CANCERRRRRRRRRRRRRRRRRRRRRRRRR".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые могут подвергнуться шифрованию, если оно вообще когда-то будет прикручено:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
VirusTotal.exe
<random>.exe
<random>.tmp
CANCER~91477.exe
CANCER~73110.exe
CANCER~53884.exe
CANCER~80569.exe
CANCER~85005.exe
CANCER~66139.exe
%LOCALAPPDATA%\ewwwwww~cancer.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***hostingonline.desi (162.218.48.104:80 - США)
arran.bishop89@aol.com
Skype: jquery.finland
XMPP: jqueryxmpp@exploit.im

Контакты можно вынуть только из кода. Вымогатель видимо не доделан и не требует выкуп. 


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet by BC
 ID Ransomware (ID as Cancer)
 Video review + Video review by BC
 Write-up on BC

 Thanks: 
 Michael Gillespie
 GrujaRS
 Lawrence Abrams, Catalin Cimpanu 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UpdateHost

UpdateHost Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: HostFile. Фальш-копирайт: Microsoft Copyright 2017. 

© Генеалогия: HiddenTear >> UpdateHost

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются READ_IT.txt
Размещаются на рабочем столе. 

Содержание записки о выкупе:
Yor File Locked email to ghanihate@gmail.com
ComputerName: s83R39JY5R
UserName: UX4e75l
Password: OWhdVJKLq/TXDw0
List Files locked: ***

Перевод записки на русский язык:
Твои файлы блокированы пиши на email ghanihate@gmail.com
Имя ПК: s83R39JY5R
Имя юзера: UX4e75l
Пароль: OWhdVJKLq/TXDw0
Список блокированных файлов: ***

К ключу после генерации дописывается P@nt@tR@s@M3m3k. 

Ключ шифрования: <password> + M3M3K_N03R03L_L3Z@T!

<password> находится в записке и в %USERPROFILE%/password.txt

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

 .7z, .asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .xls, .xlsx, .zip (22 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UpdateHost.exe
<random>.exe
%USERPROFILE%/password.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
ghanihate@gmail.com
ghani.hate@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up

 Thanks: 
 Karsten Hahn
 AlexSvirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Digisom, X-files

X-files Ransomware

Digisom Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, потом угрожает удалять один файл каждый 2 часа и требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Названия от использованных элементов. Фальш-имя: Firefox. Фальш-копирайт: Firefox and Mozilla Developers / Microsoft.

© Генеалогия: HiddenTear (модифицированный) >> X-files (Digisom)

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляются составные расширения, которые можно записать по шаблону:
<random> и <random>.x 
[original_name.extension[3_random_chars]
[original_name.extension[3_random_chars].x
[original_filename.extension][A-Za-z0-9]{3}
[original_filename.extension][A-Za-z0-9]{3}.x

В самом первом примере, который попал в наше поле зрения использовались подрасширения b0C или b0C.x
Таким образом файлы DOC, JPG, PDF, ZIP меняли расширение на .pdfb0C 
А файлы формата DOCX меняли расширение на .docxb0C.x

Во втором примере у всех зашифрованных файлов оказалось расширением b0C.x

1-й пример с b0C-расширением

2-й пример с b0C.x-расширением

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа разбрасываются на рабочем столе в пронумерованном виде: 
Digisom Readme0.txt 
Digisom Readme1.txt 
и так до Digisom Readme9.txt

Содержание записки о выкупе: 
Your important files were encrypted on this computer: photos, videos, documents, etc. You can verify this by opening them.
To save your files, you need a private key to decrypt it.
The single copy of private key, which will allow you to unlock the files, is located on a secret server on the internet; the server will destroy the key within 48 hours after encryption completed. After that, nobody are able to restore the files.
To retrieve the private key, you need to pay 0.2 bitcoins. Check out the website on how to make payment: xxxx://www.digisom.pw 
YOUR UNIQUE ID TO FIND KEY: *****

Перевод записки на русский язык:
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Вы можете проверить это, открыв их.
Чтобы сохранить файлы, вам нужен закрытый ключ для расшифровки.
Единственный экземпляр секретного ключа, который позволит вам разблокировать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через 48 после завершения шифрования. После этого никто не сможет восстановить файлы.
Чтобы получить секретный ключ, вам нужно оплатить 0,2 Bitcoins. Проверьте веб-сайт о том, как произвести платеж: xxxx://www.digisom.pw 
ВАШ УНИКАЛЬНЫЙ ID НАЙДЕННЫЙ КЛЮЧ: *****

При переходе по адресу, указанному в записке о выкупе, открывается сайт с мультиязычной поддержкой. При переключении языка можно найти также и русский. См. анимированное изображение, которое я сделал из скриншотов с этого сайта. 

Дополнительной запиской с требованием выкупа выступает экран с таймером. 

Содержание текста с экрана:
One File will be deleted in:
1 : 59 : 58
Don't try to close this program, your file will delete automatically!
Check your desktop for more information. 

Перевод текста на русский язык:
Один файл будет удален через:
1 : 59 : 58
Не пытайтесь закрыть эту программу, файл удалится автоматически!
Проверьте ваш рабочий стол для информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивых PDF), кликбейта и кликджекинга, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После первого запуска в автозагрузку добавляется скрипт для запуска файла шифровальщика

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .jpeg, .pdf, .zip, .xls, .xlsx 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Satoshimines Balance Adder.exe
Digisom.exe
Firefox.exe_0x2e0000-0x18000.exe
Firefox.exe и firefox.vbs
<random>.exe
<random>.pdf.exe
<random>.tmp
%APPDATA%\firefox\Firefox.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firefox.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
digisom.pw (68.65.122.94:80 - США)
***goldenwordsoftheday.com/
***airbnb.es-farina.es/cat/listing/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>  Ещё >>
Гибридный анализ на вредоносный PDF >>
VirusTotal анализ на вредоносный PDF >>

Из результатов анализов оказалось, что это повторение вредоносных кампаний 2015 и 2016 годов, когда таким же образом использовались вредоносный файл <random>.pdf.exe . Только теперь используется другой шифровальщик. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC + Topic
 ID Ransomware (ID as Digisom)
 

Added later
Video review (add. February 17, 2017)

 Thanks: 
 @xXToffeeXx, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PolskiRansom

Polski Ransomware

Gadu-Gadu Ransomware 

AESxWin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует связаться по email и польскому мессенджеру Gadu-Gadu, чтобы заплатить выкуп $249 и вернуть файлы. Название оригинальное. В реестре также используется раздел "AESxWin". Разработчик: Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018 года). 

© Генеалогия: Polski > Vortex > Flotera

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! - - ODZYSKAJ-PLIKI - - !!!.htm  (польск. "Восстановление файлов")
!!! - - ODZYSKAJ-PLIKI - - !!!.txt

Содержание текста с чёрного экрана (перевод автора блога):

@@@@@

POLSKI RANSOMWARE

@@@@@

#####

Nie możesz znaleźć potrzebnych plików na dysku twardym ?

Zawartość Twoich plików .jpg .pdf .doc .xls i wielu innych jest nie do otwarcia?

DOSTĘP DO TWOICH DANYCH ZABLOKOWANY !!

Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.

Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!

Przeczytaj więcej o wirusach typu ransomware:

xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić

xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest

xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?

Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z

jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!

#####

W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.

Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !

Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,

Formatować system operacyjny to jednak nic nie zmieni !

Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.

#####

Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 

Możesz też napisać na Gadu-Gadu : 61621122 

2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!

Za resztę niestety musisz zapłacić !

Cena za odszyfrowanie wszystkich plików: 249$ 

Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!

#####

Перевод этого текста на русский язык:

POLSKI RANSOMWARE

Не можешь найти нужные файлы на жёстком диске?

Содержимое твоих файлов .jpg .pdf .doc .xls и многих иных не открывается?

ДОСТУП К ТВОИМ ДАННЫМ БЛОКИРОВАН!!

Это результат программы, которая зашифровала твои данные с помощью сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.

Твои фото, фактуры, базы данных были зашифрованы!!

Прочитай больше о вирусах-вымогателях:

trybawaryjny.pl - Что такое Cryptolocker

и т.д.

Содержание текстовой записки о выкупе:
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
---
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
---
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 
Możesz też napisać na Gadu-Gadu : 61621122 
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$ 
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!

Перевод записки на русский язык (перевод автора блога):
Не можешь найти нужные файлы на жёстком диске?
Содержимое файлов не открывается?
Это результат программы, зашифровавшей большинство твоих данных с сильным алгоритмом AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, счета-фактуры, базы данных были зашифрованы!!
Узнай больше о вирусах-вымогателях:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - "Что такое Cryptolocker и как защититься от него?
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - "Вымогатель, что такое и как защититься?"
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - "Вымогатели - платить или не платить?"
Единственный способ восстановить твои файлы - купить у нас вместе с программой дешифрования ключ, генерируемый только для тебя!
---
В то время, как ты читаешь, все это уже закончено и выбранные файлы зашифрованы, а вирус удалён из твоего компьютера.
Ключ состоит из нескольких десятков символов, нужных для расшифровки данных с диска, он находится только у нас!
Ты можешь без конца пытаться ставить антивирусные программы, переставить операционную систему, но ничего не изменится!
Если не будешь следовать нашим инструкциям, то не восстановишь файлы, которые были на жёстком диске.
---
После того, как ты решишь восстановить данные, свяжись с нами по одному из email: rsapl@openmailbox.org или estion@sigaint.org
Ты также можешь написать на Gadu-Gadu : 61621122 
2 файла расшифруем бесплатно, чтобы доказать, что мы можем это сделать!
За остальные, к сожалению, придётся платить!
Цена за расшифровку всех файлов: $249
Внимание! Не трать свое время, время - деньги, через 72 часа цена увеличится на 100%!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .jpg, .pdf, .xls и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
!!! - - ODZYSKAJ-PLIKI - - !!!.htm
!!! - - ODZYSKAJ-PLIKI - - !!!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rsapl@openmailbox.org
estion@sigaint.org
Gadu-Gadu: 61621122
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 6 августа 2017:
Пост в Твиттере >>
Расширение: .ZABLOKOWANE
Записка: ### - ODZYSKAJ SWOJE DANE - ###.TXT
Файл: AESxWin.exe
Email: 3nigma@0.pl
3nigma@firemail.cc
C2: xxxxs://asuspl.ml/widwdp/***
xxxxs://taniepilapl/mij/***
Результаты анализов: HA+VT
<< Скриншот записки

После ареста в Польше разработчика шифровальщика
можно ожидать выпуск бесплатного дешифровщика
Используйте ссылку от Cert.pl для получения ключа 
Перейти по ссылке >>
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Polski Ransomware)
 Write-up

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

YourRansom

YourRansom Ransomware

(шифровальщик-НЕ-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает связаться с автором по email, чтобы БЕСПЛАТНО вернуть файлы. Название оригинальное.

© Генеалогия: YourRansom. Начало > EduRansom

К зашифрованным файлам добавляется расширение .youransom

Активность этого крипто-вымогателя не наблюдалась. Образец был выложен на github.com и представлен в начале февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.txt

Содержание записки о выкупе:
Hey gay, welcome to use YourRansom. Do you like this joke? Contact me to decrypt your files, it's free! Email: i@bobiji.com

Перевод записки на русский язык:
Привет, парень, приглашая к пользованию YourRansom. Нравится ли вам эта шутка? Контакт со мной, чтобы расшифровать файлы, это бесплатно! E-mail: i@bobiji.com

Из инструкции автора на сайте github.com:
加密后的key将存于同目录下YourRansom.key文件，该文件解密后得到YourRansom.dkey置于同目录，使用-d参数即可解密。

Перевод инструкции на русский язык:
Ключ-файл YourRansom.key хранится в зашифрованном виде в том же каталоге, где находятся зашифрованные файлы. Файл расшифровываются с помощью файла YourRansom.dkey. Он помещается в тот же каталог с параметром -d для расшифровки.

Ответное письмо автора шутки-разработки:
Send me the YourRansom.key file. I'll return you a YourRansom.dkey file. Put it in the directory of YourRansom binary file and rerun it. Your file will be unlocked.

Перевод ответного письма на русский язык:
Пришли мне файл YourRansom.key. Я верну тебе файл YourRansom.dkey. Положи его в папку с бинарником YourRansom и перезапусти. Твой файл разблокируется.

Технические детали

Распространяется пока через github.com, но в перспективе может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .avi, .doc, .docx, .gif, .inf, .jpeg, .jpg, .mov, .mp3, .mp4, .mpg, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (20 расширений). 

Это документы MS Office, текстовые файлы, фотографии, музыка, видео, архивы и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
Windows
Program
Appdata
System

Файлы, связанные с этим Ransomware:
README.txt
YourRansom.exe
YourRansom.key
YourRansom.dkey

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: i@bobiji.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Расшифровка предоставляется разработчиком.
Смотрите email-адрес в тексте статьи. 
Инструкции есть также в статье EduRansom >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as YourRansom)
 Write-up (n/a)

 Thanks: 
 Roland Dela Paz, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.