Если вы не видите здесь изображений, то используйте VPN.

понедельник, 15 мая 2017 г.

Fake WannaCry

Fake WannaCry Ransomware

Fake WanaCryptor Ransomware

(группа шифровальщиков, подражателей и фейк-шифровальщиков) 

Translation into English


   Успех, который пришёлся на долю крипто-вымогателя WanaCrypt0r 2.0 семейства WannaCry, использовавшего NBA Exploit и бэкдор DoublePulsar, вызвал приступы зависти у других вымогателей и толкнул их на создание фейков-подражателей, полностью или отчасти имитирующих внешний вид WanaCrypt0r 2.0. Это им нужно для того, чтобы вынудить напуганную жертву поскорее перевести выкуп. Некоторые из них вообще не доведены до ума и даже не пытаются шифровать файлы. 


Такое поведение мы уже наблюдали раньше для других нашумевших крипто-вымогателей (CryptoWall, CryptoLocker, TeslaCrypt, Locky, Cerber, Globe пр.), но в этом году это первый масштабный поток подражателей. Обо всех рассказать невозможно, потому расскажем лишь о тех, про которых удалось собрать сведения, позволяющие идентифицировать вымогателя как подражателя. 



DarkoderCryptor Ransomware
Другие названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor.
Реально шифрует данные с помощью AES и требует в качестве выкупа $300 в биткоинах. 
К зашифрованным файлам добавляет расширение .DARKCRY 
Читайте отдельное описание этого вымогателя на отдельной странице по ссылке


Aron WanaCrypt0r 2.0 Generator v1.0
Разработан как настраиваемый генератор WannaCry Ransomware. Позволяет создать свой собственный экран блокировки WannaCry, где новый разработчик сможет настроить текст, изображения и цвета экрана блокировки, которые будут использоваться в новом исполняемом файле WanaCrypt0r. 
Распространяется под именем Wanacrypt0r 2.0.exe
Результаты анализов: VT


Wana Decrypt0r 2.0
Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Распространяется под именем MS17-010.exe.
Результаты анализов: VT

Wana Decrypt0r 2.0 (другой)
Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Если приглядеться, то видно, что отличается от предыдущего подражателя шрифтами на экране блокировки и другим BTC-кошельком. 
Распространяется под именем R6Tools.exe.
Результаты анализов: VT


Wanna Crypt v.2.5
Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Visual Studio 2017
Результаты анализов: HA+VT


WannaCrypt 4.0
Ничего пока не шифрует, а только показывает экран блокировки. 
В экране блокировки языком по умолчанию установлен тайский. Оригинальный WanaCrypt0r 2.0 не поддерживает тайский язык, значит разработчик этого фейка видимо из Таиланда.
Распространяется под именем WannaCrypt 4.0.exe.
Результаты анализов: VT


Wanna Subscribe 1.0
Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Java
Распространяется под именем Wanna Subscribe Decrypt0r v1.0.exe
На файле указано название продукта: Java Executive by Jar2Exe
Результаты анализов: VT


Активность этих вымогателей выявлена сразу после атаки WanaCrypt0r 2.0, т.е. после 12 мая 2017 г. и далее продолжилась. Тексты в основном на английском, но немало и региональных: на китайском, испанском, португальском, тайском. Впрочем, новые вымогатели-подражатели без труда могут заимствовать текст из ресурсов WanaCrypt0r. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Было довольно много разных подделок и имитаций. Некоторые шифровали файлы. другие не шифровали. Вы можете ознакомиться с внушительным сисков Ransomware, собранных на этом сайте и просмотреть среди них тех, что начинаются на "Wanna...". 

Я не стремился собрать все подделки и имитации, потому многие просто пропустил.
Но спустя несколько лет после нашумевшего реального "WannaCry", который на самом деле назывался WanaCrypt0r 2.0 Ransomware, появляются крипто-вымогателей с похожим окном. Наверное, иногда всё-таки стоит их добавлять хотя бы в эту статью в качестве обновлений. 


=== 2020 ===

Обновление от 2 февраля 2020:
Пост в Твиттере >>
Название в заголовке окна: Wana_Decrypt0r 2.0
Название проекта: RaNsOmCrYpT
Путь: C:\Users\RaNsOmCrYpT\source\repos\WindowsFormsApp3\WindowsFormsApp3\obj\Debug\WindowsFormsApp3.pdb
Функционал: не шифрует файлы. 
Email: REDxVENOM@protonmail.ch
Файлы: WindowsFormsApp3.exe
RaNsOmCrYpTVIRUSMALWARETROJAN.exe
Результаты анализов: VT + AR + IA + HA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10598
ALYac -> Misc.Hoax
Avira (no cloud) -> HEUR/AGEN.1016243
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Z
Kaspersky -> HEUR:Hoax.MSIL.FakeRansom.gen
McAfee -> Ransomware-FTD!4FC9933FCF4F
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan-psw.Fakeransom.Piar
TrendMicro -> Ransom_Ryzerlo.R002C0CB320






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer, Michael Gillespie
 Marcelo Rivero
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.



шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Kee

Kee Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже требует выкуп, чтобы вернуть файлы, а лишь сообщает, что после обнуления таймера все файлы будут удалены. Оригинальное название kee, @kee или Download Installer.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> Kee

К зашифрованным файлам добавляется недорасширение @kee

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Hello There! Fellow @kee User!.txt

Содержание записки о выкупе:
What exactly happend?
All your Videos, Music, Documents and other files are no longer accessible. I’m sorry to tell you, that there’s no way to decrypt your files from this time, wasting your time is currently no good behaviour!
How to get your files back?
Now you're asking yourself how much Bitcoins you have to send to get your files back, well.. None. You simply can't get your files back!
I see that you’re surprised. But let's be honest, others are just fake. You send the money.. you get nothing.
I spare you time!
But I'm a good human being!
I don't care what you are. I have nothing against you! it’s not just you, it’s everyone!
Then what's the matter with the countdown?
Well.. actually there might be a little chance to decrypt your files. But even I don't know how to decrypt something without a key and when the timer runs out, all of your files will be corrupted forever!
And by the way, closing this program won't help you. All files will be corrupted immediately!
Find the kee!

Перевод записки на русский язык:
Что именно произошло?
Все твои видео, музыка, документы и другие файлы теперь недоступны. К сожалению, я могу сказать, что с этого момента невозможно расшифровать ваши файлы, так что тратить время - это не очень хороший поступок!
Как вернуть файлы?
Теперь ты спрашиваешь меня, сколько биткойнов тебе нужно отправить, чтобы вернуть твои файлы, ну ... Нет. Ты просто не сможешь вернуть свои файлы!
Я вижу, что ты удивлен. Но давайте будем честными, другие просто подделка. Ты посылаешь деньги. Ты ничего не получаешь.
Я оставляю вам время!
Но я хороший человек!
Мне все равно, кто ты. Я ничего не имею против тебя! Это не только ты, это все!
Тогда что случилось с обратным отсчетом?
Ну .. на самом деле есть мало шансов расшифровать твои файлы. Но даже я не знаю, как расшифровать это без ключа, и когда таймер отсчитает, все твои файлы будут повреждены навсегда!
И, кстати, закрытие этой программы тебе не поможет. Все файлы будут повреждены немедленно!
Найди kee!

Другими информаторами жертв являются экран блокировки с тем же текстом и скринлок, встающий обоями рабочего стола. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

При первом запуске создает файл с именем killsw32l.dll. Если при перезагрузке этот файл цел, то он удаляет все файлы.

Список файловых расширений, подвергающихся шифрованию:
.gif, .jpeg, .jpg, .mov, .mp3, .mp4, .png, .txt, .wav, .wmv и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Hello There! Fellow @kee User!.txt
download-installer.exe
<random>.exe
killsw32l.dll
папка TestFolder

Расположения:
\Desktop\TestFolder\Hello There! Fellow @kee Userl.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kee Ransomware)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DarkoderCryptor

DarkoderCryptor Ransomware

DarkoderEncript0r Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальные названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor. Они есть в записках, в коде, на экране блокировки. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DarkoderCryptor

К зашифрованным файлам добавляется расширение .DARKCRY (или .darkcry)

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
@ READ-ME - DARKODER ENCRYPT0R @.txt
@ READ-ME - DARKODER ENCRYPT0R @.html


Изображение, отделенное от HTML-записки и скриптов

Внешний вид записки с очисткой от скриптов

Текстовая записка о выкупе (реконструкция)

Записка загружаются на зараженный компьютер с временного адреса сайта sendspace.com. HTML-записка содержит скрипты, загружаемые извне, выполнение которых небезопасно. 

Ещё одним информатором жертвы выступает экран блокировки с кнопками.
Экран блокировки с заголовком DarkoderCrypt0r

Содержание записок о выкупе:
Darkoder Encript0r
What Happened to My Computer?
Your important files are encrypted.
 Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
 Maybe you are busy looking for a way to recover your files, but do not waste your time.
 Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
 You can decrypt some of your files for free. Try now by clicking <Decrypt>.
 But if you want to decrypt all your files, you need to pay.
 You only have 3 days to submit the payment. After that the price will be doubled.
 Also, if you don't pay in 7 days, you won't be able to recover your files forever.
 We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About Bitcoin>.
 Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
 And send the correct amount to the address specified in this window.
 After your payment, click <Check Payment>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
 Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>
===
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 

Перевод записок на русский язык:
Darkoder Encript0r
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, базы данных и другие файлы больше недоступны, т.к. они были зашифрованы.
Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы никогда не сможете восстановить файлы.
У нас будут бесплатные способы для пользователей, которые так бедны, что не заплатят за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите <About Bitcoin>.
Проверьте текущую цену биткоинов и купите биткоины. Для дополнительной информации нажмите <How to buy Bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После вашего платежа нажмите <Check Payment>. Лучшее время для проверки: 9:00 - 11:00 утра GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
===
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ-ME - DARKODER ENCRYPT0R @.html
@ READ-ME - DARKODER ENCRYPT0R @.txt
WindowsFormsApplication1.exe
@DaKryEncryptor@.exe
@ DARCODER ENCRYPTOR @.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCWare-Onyon

OnyonLock Ransomware

BTCWare-Onyon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 (первые 10 Мб), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.
BTCWare-Onyon Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >  BTCWare-Onyon (OnyonLock)

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].onyon

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_DECRYPT_#!.inf

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: decrypter@onyon.su
You have to pay for decryption in Bitcoins. The price depends on now fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key nas been deleted and you cant decrypt your files
Your ID: 3WPn3rQFa*****

Перевод записки на русский язык:
Все ваши файлы были зашифрованы из-за проблем безопасности на вашем ПК.
Если вы хотите восстановить их, напишите нам на email: decrypter@onyon.su
Вы должны заплатить за дешифровку в биткойнах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент дешифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной дешифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 10 МБ
Как получить биткойны
Самый простой способ купить биткойн - это сайт LocalBitcoins.
Вам нужно зарегистрироваться, нажать Buy bitcoins и выбрать продавца методом оплаты и цены https://localbitcoins.com/buy_bitcoins.
Внимание!
Не переименовывайте зашифрованные файлы
Не пытайтесь дешифровать свои данные с помощью сторонних программ, это может привести к потере данных
Если вы не напишете на email через 3 дня - ваши ключевые данные будут удалены, и вы не сможете дешифровать свои файлы
Ваш ID: 3WPn3rQFa *****

Во втором варианте записки указан другой email - tk.btcw@protonmail.ch
В остальном тот же текст. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов и отключает исправление загрузки Windows командами:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} recoveryenabled No

OnyonLock использует base64 для идентификатора жертвы (это ключ, зашифрованный ключом RSA).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_DECRYPT_#!.inf
locker.exe
delself.bat

Расположения:
%APPDATA%\!#_DECRYPT_#!.inf
%USERPROFILE%\Desktop\!#_DECRYPT_#!.inf
%TEMP%\delself.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decrypter@onyon.su - первый вариант
tk.btcw@protonmail.ch - второй вариант
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



Обновление от 22 мая 2017:
Email: newcrann@qq.com
Записка: !#_DECRYPT_#!.inf
<< Скриншот записки








Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private


суббота, 13 мая 2017 г.

SecretSystem

SecretSystem Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SecretSystem и Ransomeware_Final.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .slvpawned

Активность этого крипто-вымогателя пришлась на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
Attention
All Your Files are Encrypted by SecretSystem
Warning: Do not turn off your Computer EITHER you will LOST all your files
If you want to decrypt your files follow this simple steps:
1.) Create BitcoinWallet
2.) Buy Bitcoins worth of $500
3.) Send $500 in BitCoin to Given Address
4.) Go to xxxx.xxx.xxx and Enter your Personal Id
5.) You will get your Decryption Key
6.) Enter it in Given Box and Click on Decrypt
7.) Restart your Computer and Delete any encrypted file you find
Bitcoin Address ***
Enter Decryption Key Here
[...] 
кнопка [Decrypt]

Перевод записки на русский язык:
Внимание
Все ваши файлы зашифрованы SecretSystem
Предупреждение: не выключайте свой компьютер, ИНАЧЕ вы ПОТЕРЯЕТЕ все ваши файлы
Если вы хотите дешифровать свои файлы, сделайте простые шаги:
1.) Создайте BitcoinWallet
2.) Купите биткойны на сумму $500
3.) Отправьте $500 в BitCoin на указанный адрес
4.) Идите на страницу xxxx.xxx.xxx и введите свой ID
5.) Вы получите свой ключ дешифрования
6.) Введите его в Given Box и нажмите Decrypt
7.) Перезагрузите ПК и удаляйте любой зашифрованный файл
Биткоин-адрес ***
Введите здесь ключ дешифрования
[...] 
кнопка [Дешифровать]

Ещё фразы: 
If you Close me you will loose all Your Files.
Contact Me :putraid1900@gmail.com orfb.com/Anonymous.404.NF

Перевод: 
Если вы закроете меня, вы потеряете все свои файлы.
Связь со мной: putraid1900@gmail.com orfb.com/Anonymous.404.NF

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Демонстрирует фальшивый экран обновлений Windows, пока шифрует файлы. 


Список файловых расширений, подвергающихся шифрованию:
.3gp, .ahok, .apk, .asp, .aspx, .avi,.doc, .docx, .encrypt, .flac, .html, .jpeg, .jpg, .MOV, .mov, .mp3, .mp4, .php, .png, .ppt, .pptx, .psd, .rar, .raw, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip (31 расширение). 
А также файлы, чьи имя заканчивается на crypted. Это может быть окончание расширения типа .encrypted, .crypted и т.д.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomeware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: putraid1900@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware)
 Write-up (add. May 20, 2017), Topic
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam‏
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *