Если вы не видите здесь изображений, то используйте VPN.

четверг, 15 июня 2017 г.

WinUpdatesDisabler

WinUpdatesDisabler Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: WinUpdatesDisabler. На файле написано: Windows 10 Updates Disabler
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> WinUpdatesDisabler

К зашифрованным файлам добавляется расширение .zbt

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на пользователей, понимающих сербско-хорватский язык, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Payment information for decryption.txt
Содержание записки о выкупе:
Ej sestriće, moraš da gi platiš.
Ako gi ne platiš, zaključani fajlovi nema da gi vratiš.

Перевод записки на русский язык:
Эй, сестра, требуется платить. 
Если не платить, блокированные файлы не вернуть.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinUpdatesDisabler.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryptoSpider

CryptoSpider Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем оставляет надпись на изображении. Оригинальное название: CryptoSpider. На файле написано: CryptoSpider.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryptoSpider

К зашифрованным файлам добавляется расширение .Cspider

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на обоях (на экране блокировки?):

Содержание текста о выкупе:
HACKED BY ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ARE YOU SAFE?

Перевод текста на русский язык:
ВЗЛОМАНО ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ВЫ В БЕЗОПАСНОСТИ?

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoSpider.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

среда, 14 июня 2017 г.

CryForMe

CryForMe Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250€ в BTC, чтобы вернуть файлы. Оригинальное название: CryForMe. На файле написано: CryForMe. Разработчик: Marco.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryForMe

К зашифрованным файлам должно добавляться расширение .cfm
Но по данным исследователей шифрование пока не работает, т.к. CryForMe ещё находится в разработке. 

Образец этого крипто-вымогателя был найден в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
 Your file have been ENCRYPTED !!!
-What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
-Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
You only have 7 days to submit the payment. After that the price will be doubled.
Once the price doubled you have other 7 day for pay, otherside the price will be very high.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins.
And send the correct amount to the address specified in this window.
In the payment description insert your name, your PC name, and your email (so we can send you the password.
-What happens after the payment?
After the payments we send you the password for the decrypt.
You have to click "Decrypt" button and insert the password; after this you have your files back.
PROMISE!
***
Send 250 € to this BITCOIN address:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
PASSWORD HERE [Decrypt]

Перевод записки на русский язык:
Ваш файл был ЗАШИФРОВАН !!!
-Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
-Я могу восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас недостаточно времени.
Если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 7 дней, чтобы отправить платеж. После этого цена будет удвоена.
После того, как цена удвоится, у вас есть ещё 7 дней для оплаты, иначе цена будет очень высокой.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
В описании платежа укажите свое имя, имя вашего компьютера и адрес электронной почты (чтобы мы могли отправить вам пароль.
-Что будет после оплаты?
После оплаты мы отправим вам пароль для расшифровки.
Вы должны нажать кнопку "Decrypt" и вставить пароль; после этого ваши вернутся.
Обещаю!
Пошли 250 € на BITCOIN-адрес:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
Пароль здесь [Decrypt]

Пока находится в разработке. После релиза вполне может начать распространяется путём взлома через незащищенную конфигурацию RDP или с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryForMe.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!

1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

вторник, 13 июня 2017 г.

WhyCry

WhyCry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Why-Cry и WhyCry-Ransomware. Разработчик: Cyber-Ghost-Army.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid (FTSCoder) >> WhyCry

К зашифрованным файлам добавляется расширение .whycry

AES-ключ шифрования YANGTGTDKYFWSBDAUWPMFNHBUGPFUCKYOU

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, который появляется только после голубого экран а с окнами, в которых показаны директории пользователя. Примечательно, что такая демонстрация появилась впервые. 

На голубом фоне написано: 
Windows is working on updates, wait till complete.
Don't turn off you computer, this will take a while. 

Перевод на русский язык: 
Windows работает над обновлениями, ждите завершения
Не выключайте компьютер, это займёт немного времени.

На самом деле в это время выполняется шифрование файлов пользователя. Ближе к концу выявляется какой-то сбой, после чего шифрование продолжается. В итоге появляется сообщение о выполненном шифровании с требованиями выкупа. 

Содержание записки о выкупе:
Attention!!!
All Your Files are Encrypted by Why-Cry
Warning: Do not turn off your Computer!! You will loose all your files!
If you want to Decrypt your files follow these simple steps:
1.) Create BitcoinWallet here: https://blockchain.infb/
2.) Buy Bitcoins worth of $300.
3.) Send $300 in Bitcoin to Given Address Below!
4.) You will get your Decryption Key after you pay $300 in Bitcoin.
5.) The Decryption Key will pop up on the left side automatically. We are more advance than others.
6.) Enter it in Given Box and Click on Decrypt.
7.) After clicking on Decrypt the files will start decrypting in background.
BitCoin Address: 1NgnRmq7eYeMR5BRr7tVR3TC)JxmWwC6bVj /e itself.
9.) You will get all of your files safely.
Enter Decryption Key Here 
[...] button [Decrypt]
All files have been Encrypted by Why-Cry!
Don't dose the PC otherwise,
I wont be responsible if your files dont decrypt.
If you close your PC this screen will be removed.
And you will not be able to Decrypt files back!!!

--- после вода ключа ---
Wait!!!Files are being Decrypted!
Your Files Have Been Successfully Decrypted!!!

Перевод записки на русский язык:
Внимание!!!
Все ваши файлы зашифрованы Why-Cry
Предупреждение: не выключайте компьютер! Вы потеряете все свои файлы!
Если вы хотите расшифровать свои файлы, выполните следующие простые шаги:
1.) Создайте Bitcoin-кошелек здесь: https://blockchain.info/
2.) Купите биткоины стоимостью 300 долларов.
3.) Отправьте $ 300 в биткоинах на заданный адрес ниже!
4.) Вы получите свой ключ дешифрования после оплаты $300 в биткоинах.
5.) Ключ дешифрования автоматически появится на левой стороне. Мы больше других продвинулись вперед.
6.) Введите его в поле Given Box и нажмите Decrypt.
7.) После нажатия на Decrypt файлы начнут дешифрование в фоновом режиме.
8.) Как только файлы будут дешифрованы, этот экран удалит себя.
9.) Вы получите все свои файлы безопасно.
Введите ключ дешифрования здесь
[...] кнопка [Decrypt]
Все файлы были зашифрованы Why-Cry!
Не выключайте ПК, иначе я не в ответе за то, что ваши файлы не будут расшифровываться.
Если вы выключите свой ПК, этот экран будет удален.
И вы не сможете расшифровать файлы обратно !!!

--- после вода ключа ---
Подождите !!! Файлы расшифровываются!
Ваши файлы были успешно расшифрованы!

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.avi, .doc, .exe, .gif, .mp3, .pdf, .rar, .txt...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Michael Gillespie
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

PaySafeCard

PaySafeCard Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $20, чтобы вернуть файлы. Оригинальное название. На файле написано: rnsmwre. Фальш-копирайт: HP. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .rnsmwre
В расширении используется сокращенное слово: ransomware (без гласных букв).

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @decrypt_your_files.txt

Содержание записки о выкупе:
Your files are encrypted!
There is only one way to get them back:
You need to send me a 20 USD PaySaveCard-Code [Write it into the Console Window!]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Есть только один способ вернуть их:
Вам нужно отправить мне 20 USD PaySaveCard-Code [вписать его в окно консоли!]

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rnsmwre.exe
@decrypt_your_files.txt

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://duetro-proxy.lima-city.de/ (91.216.248.20:80)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

понедельник, 12 июня 2017 г.

CA$HOUT

CA$HOUT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $100, чтобы вернуть файлы. Оригинальное название. На файле написано: WindowsApplication1. Разработчик: Johannes. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
На момент публикации статьи вымогатель был недоработан. 

Запиской с требованием выкупа выступает экран блокировки:
 

Содержание текста о выкупе (верхний скриншот):
YOUR COMPUTER IS LOCKED
To get a key to decrypt all files on your computer you have to pay $100
Possible kinds of payment
Enter Key: [***] button [Pay]
Your Mail adress: [***]
Your Key: [***] button [Copy]
CA$HOUT Ransomware

Перевод текста на русский язык:
ВАШ КОМПЬЮТЕР БЛОКИРОВАН
За ключ для дешифрования всех файлов на вашем ПК надо заплатить $100
Возможные виды оплаты
Enter Key: [***] кнопка [Pay]
Ваш Mail-адрес: [***]
Ваш ключ: [***] кнопка [Copy]
CA$HOUT Ransomware

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Info.exe
Temp.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

7z Portuguese

7z Portuguese Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)


Этот крипто-вымогатель блокирует данные пользователей, а затем требует связаться по email с вымогателями, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название неизвестно. Для запирания файлов используются возможности архиватора 7-Zip, в их числе шифрование AES-256 и парольная защита. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Заблокированные файлы помещаются в архив с расширением .7z и паролем неизвестной длины. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
Hello I'm a System Expert I Hacked Your System But There Is No Frightening Situation
Encrypting your files in a way that your files will be retrieved
Your Data will Not Be Saved Absolutely And Will Not Be Returned To You
We Are Constraining 12 Hours To Get Your Crisis
If You Do not Have Your Files Encrypted We Are Destroying Ourself, We Are Working To Save
Your moment is not a situation other than the loss of time and I agree with you Enemy
If you have received your payment, you will be able to keep your time files encrypted and you can continue to work from now on
And Your System Will Tell You In The Openness I Will Help You Close Your Closure Something Else Will Never Come Home
For You To Be Last Submissive Mail Address And Reference Number You Must Tell Us Your Reference Number At Mail
Otherwise, it will not be answered absolutely and certainly in reference numbers without a good number of days
You send Mail 12 hours I am Waiting...
Mail Address:yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Reference Number:61
-----
Olá eu sou uma condição para ter medo, mas eu já invadiu seu sistema, um sistema especialista Nenhum
E aproveitando os arquivos abertos em seu sistema voltar eu não consigo descobrir Encryption
Não há forma de recuperar dados em cima de verão definitivamente estará de volta e você Getirilmi a Time
Restrições podemos fazer para obter sua senha 12 horas 12 horas para o retorno de Vordur Egerer
Criptografar com seus arquivos na ausência de auto-destruição
Eu postei, sua recuperação logística
Compreender o Times Outra perda condição não é seu inimigo e I
Nós não temos os mesmos salários acordados
Evet sido dado tempo, se eu apresentar meu pagamento para continuar o seu trabalho de lugar para ficar se a senha
Como cortar o seu sistema e você Notifier I suplementares perto de se tornar um bem de novo para não vir à sua cabeça
Para, o último como vou dar Alta Número de Referência endereço de email e dizer-nos seu número de referência é necessário para dispor de correio
Caso contrário, se o número de referência Envie Response Absolutamente E, certamente, a Bons Dias
Nosso endereço de e-mail:yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Número de referência:61

Перевод записки на русский язык:
(текст очень корявый и английский и португальский)
Привет, я системный эксперт. Я взломал вашу систему, но ситуация не пугающая. 
Шифрование файлов сделано таким образом, чтобы ваши файлы были извлечены.
Ваши данные не будут сохранены абсолютно и не будут возвращены вам.
Мы подождем 12 часов, чтобы получить ваш кризис (т.е. ваше решение).
Если у вас нет зашифрованных файлов, мы самоуничтожимся, наша работа для сохранения.
Ваш момент не является ситуацией, кроме потери времени, и я согласен с вами, неприятно. 
Если вы сделали платеж, вы сможете исправить ваши зашифрованные файлы и продолжить работать.
И ваша система останется открытой. Я могу помочь вам это закрыть. Что-нибудь ещё никогда не вернётся.
Вам в конце даны почтовый адрес и номер ссылки, вы должны сообщить нам свой номер ссылки по почте.
Иначе абсолютно не будет ответа и, безусловно, в ссылочных номерах без хорошего количества дней.
Вы отправляете почту 12 часов, я жду...
Почтовый адрес: yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Номер ссылки: 61

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
c2.7z
Administrador1.7z

Расположения:
 C:\c2.7z
 C:\Administrador1.7z

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: yedekveri258@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 ssergiio (victim in the topic of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *