Если вы не видите здесь изображений, то используйте VPN.

пятница, 7 июля 2017 г.

Xorist-RuSVon

RuSVon Ransomware

Xorist-RuSVon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Xorist >> Xorist-TraNs > Xorist-RuSVon

К зашифрованным файлам добавляется расширение .RuSVon и/или .done
Шифрование могло производиться друг за другом, по несколько раз. 

В Интернете больше встречается англоязычных статей, где указано расширение .RusVon, которое, вероятно, просто было кем-то перезаписано с маленькой буквой "s" и пошло-поехало. 

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATENTION!
All your files are now encrypted using RSA (2048 bits) algorithm
Without the original key, recovery is imposible.
You must pay 0.2 BTC for the decryption key
You have 4 days to pay for my services. After this period, you will lose all your files.
Step 1 - Create an account www.localbitcoin.com
Step 2 - Buy 0.2 Bitcoin
Step 3 - Send the amount to this address:
1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
Step 4 - Contact us on this email: bkmf@gmx.com with subject: DECRYPT KEY FOR ID-CLIENT-39281
After these steps you receive softwere and tutorial for decryption.
For any questions please contact us at this email address: bkmf@gmx.com

Перевод записки на русский язык:
ВНИМАНИЕ!
Все ваши файлы теперь зашифрованы с алгоритмом RSA (2048 бит)
Без оригинального ключа восстановление невозможно.
Вы должны заплатить 0.2 BTC за ключ дешифрования
У вас есть 4 дня для оплаты моих услуг. По окончании этого периода вы потеряете все свои файлы.
Шаг 1 - Создать учетную запись www.localbitcoin.com
Шаг 2 - Купить 0.2 Bitcoin
Шаг 3 - Отправить сумму на этот адрес:
1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
Шаг 4 - Связаться с нами по этому email-адресу: bkmf@gmx.com с темой: DECRYPT KEY FOR ID-CLIENT-39281
После этих шагов вы получаете программу и учебник для дешифрования.
По всем вопросам пишите нам по этому email-адресу: bkmf@gmx.com

Запиской с требованием выкупа также выступают экран блокировки и изображение на рабочем столе:



Тексты требований о выкупе аналогичные. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Особенности версии
- В работе этого крипто-вымогателя было замечено мультишифрование. Так после запуска файла Start.exe у файлов сначала появлялось расширение .RuSVon, а потом, после запуска файла Finish.exe эти же файлы дополнительно получали ещё и расширение .done
- Более того, хоть с первым, хоть со вторым расширениями файлы могли быть зашифрованы несколько раз подряд. Этот факт может говорить о работе сразу нескольких копий шифровальщиков. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
Start.exe
Finish.exe
D8Ub0NPO8GM2iwu.exe
<random>.exe

Расположения:
\Desktop\ -> HOW TO DECRYPT FILES.txt
\User_folders\ -> HOW TO DECRYPT FILES.txt
%PROGRAMFILES%\AutoIt3\Examples\Helpfile\Extras\HOW TO DECRYPT FILES.txt
%TEMP%\D8Ub0NPO8GM2iwu.exe
\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
bkmf@gmx.com
BTC: 1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше Историю семейства.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Alex Svirid
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AES-Matrix

AES-Matrix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику

К зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: pay and get your data back.txt

Содержание записки о выкупе:
Hello, 
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many company paid it before.
Your are so large Security Safes company.
Now would you like to see your business become like a startup or just pay to continue your business?
Contact my email: darkpart@tutanota.com or darkware@tutanota.com
If you do not contact me soon, you key will be deleted automaticly by system and you will lose your data 4ever.
Just take it as security consultant fee. They charge much more than me. 

Перевод записки на русский язык:
Привет,
Все ваши данные были зашифрованы ключом AES-256,
Если вы хотите расшифровать самостоятельно, то понадобится сто лет,
Если вы можете заплатить немного денег, я пришлю вам ключ дешифрования, вы можете сразу вернуть свои данные.
Согласно отчету CyberEreat Group от CyberEdge от 2016 года, 1/3 компаний выплатили выкуп.
Так что не стыдно платить выкуп, многие компании заплатили его раньше.
У вас такая большая компания Security Safes.
Вы хотели бы, чтобы ваш бизнес стал как стартап или просто заплатили за продолжение своего бизнеса?
Свяжитесь со мной по email: darkpart@tutanota.com или darkware@tutanota.com
Если вы не свяжетесь со мной в ближайшее время, вы автоматически удалите ключ из системы, и вы потеряете свои данные 4ever.
Просто считайте это платой консультанту по безопасности. Они берут намного больше меня.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Атакуют через RDP сервера, а затем шифруют хранилища данных, содержащие файлы vhd для рабочих виртуальных машин и дисков общего доступа.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay and get your data back.txt
<random>.exe
AES-256.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
darkpart@tutanota.com
darkware@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 мая 2018:
Пост в Твиттере >>
Записка: ACCUDATA_pay and get your data back.txt
Email: ACCUDATA1@tutanota.com, ACCUDATA2©tutanota.com
➤ Содержание записки о выкупе:
Hello,ACCUDATA
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many companies paid it before.
Your are a so big data company now,
Now would you like to see your business become like a startup or just pay to continue your business?
Contact email: ACCUDATA1@tutanota.com or ACCUDATA2©tutanota.com
If you do not contact us soon, Your key will be deleted automatically by system and you will lose your data 4ever.






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-Matrix)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topic of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DCry

DCry Ransomware

DCry 2.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, чтобы вернуть файлы. Оригинальное название Не указано. На файле написано: Cryptor.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dcry

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt
Запиской с требованием выкупа также выступает диалоговое сообщение, сделанное с помощью скрипта VBScript с функцией MsgBox.

Содержание записки о выкупе:
Files has been encrypted. 
If you want to decrypt, please, write me to e-mail: bbqb@protonmail.com
Your key: 
*****

Перевод записки на русский язык:
Твои файлы зашифрованы.
Если хочешь дешифровать, пожалуйста, пиши мне на e-mail: bbqb@protonmail.com
Твой ключ: 
*****

Содержание сообщения из MsgBox:
Your files is crypted. 
If you want to encypt, please, write me to e-mail: bbqb@protonmail.com
Your key: *****

Перевод сообщения из MsgBox:
Твои файлы зашифрованы.
Если хочешь шифровать, пиши мне на email: bbqb@protonmail.com
Твой ключ: *****

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
Cryptor.exe
message.vbs

Расположения:
C:\Windows\message.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bbqb@protonmail.com
***s7c4wrcmzgbtldbs.onion.cab
xxxxs://s7c4wrcmzgbtldbs.onion.cab/receiver.php?value=
xxxx://www.indyproject.org/
62.138.11.6: 443 - Германия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 24 июля 2017: 
Пост в Твиттере >>
Расширение: .qwqd
Файл: Dcry.exe
Email: qwqd@protonmail.com
Результаты анализов: HA+VT
Записка: READ_ME_MY_FRIEND.txt
Содержание записки:
Hello my friend. Your files are encrypted.
If you want get back your files, just write to e-mail qwqd@protonmail.com.
Please don't try decrypt yourself, because third-party decryptor can broke your files.
For test decrypt you can send me 1 file ~2MB.
Your key: MTD_UjR0Da6SF6fgNzzpnb8l


Обновление от 13 сентября 2017:
Новая версия: DCry 2.0
Пост в Твиттере >>
Расширение: .dian
Email: lnq@protonmail.com
Результаты анализов: VT
На скриншоте часть кода с сообщением к Demonslay335




Внимание!
Для зашифрованных файлов есть декриптер
Скачать DCryDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DCry, DCry 2.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

четверг, 6 июля 2017 г.

Striked

Striked Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA+SHA256, а затем требует написать на email, чтобы получить дешифратор и вернуть файлы. Плата за дешифровку разная, минимум $300 в BTC. Оригинальное название: не указано. Написан на Python. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения без точек: 
#<email>#id#<id>

Примеры, известных: 
#nukem@mortalkombat.top#id#<id>
#rap@mortalkombat.top#id#<id>
#bitcoin@mortalkombat.top#id#<id>
---
* Под <id> цифры, в имеющихся образцах их было 10. 

Файлы сохраняют исходный размер.

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_DECRYPT.html

Содержание записки о выкупе:
YOUR FILES ARE STRIKED!
-=ALL OF YOUR FILES ARE ENCRYPTED!=-
Your personal identifier: 1499363281
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to raiden@mortalkombat.top
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
*** Do not attempt to uninstall the program or run antivirus software
*** Attempts to decrypt files by themselves will result in the loss of your data

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БАСТУЮТ!
-=ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!=-
Ваш персональный идентификатор: 1499363281
Ваши документы, фото, базы данных, сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы расшифровать ваши файлы, отправьте email на адрес raiden@mortalkombat.top
В ответном письме вы получите программу для дешифрования.
После запуска программы дешифрования все ваши файлы будут восстановлены.
!!! Внимание !!!!!! Внимание !!!!!! Внимание !!!
*** Не пытайтесь удалить программу или запустить антивирусную программу
*** Попытки дешифрования файлов самому приведут к потере ваших данных

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_DECRYPT.html
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
113.53.231.201:3129- Таиланд
1.179.146.153:8080  - Таиланд
1.28.246.144:8080 - Китай
См. ниже результаты анализов.

Известные email вымогателей:
nukem@mortalkombat.top
raiden@mortalkombat.top
rap@mortalkombat.top
m.pirat@aol.com
duk@mortalkombat.top
jekabro@mortalkombat.top
Andrey.gorlachev@aol.com
bitcoin@mortalkombat.top
chivas@aolonline.top
raiden@aolonline.top
help_911_support@rambler_ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Striked-1 Ransomware - июль 2017 - шаблон расширения: #<email>#id#<id>
Striked-2 Ransomware - декабрь 2017  - шаблон расширения: .<email>.<email> или .<email>



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 декабря 2018:
Расширение: .help_911_support@rambler_ru
Расширение может быть двойным, если сработало повторное шифрование: 
.help_911_support@rambler_ru.help_911_support@rambler_ru
Шаблон расширения: .<email>
Содержание записки: 
YOUR FILES ARE STRIKED!
-= ALL OF YOUR FILES ARE ENCRYPTED! =-
Your personal identifier:1512935136
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to help_911_support@rambler.ru
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
***Do not attempt to uninstall the program or run antivirus software
***Attempts to decrypt files by themselves will result in the loss of your data
Топик на форуме >>

!!! Я передал разработчику дешифровщика Майклу Джиллеспи информацию по новой версии шифровальщика. Он изучил представленные образцы и сообщил нам, что: 
➽ С декабря шифровальщик использует файл конфигурации со статическими паролями, а ранее он компилировался в самой программе. Для помощи в расшифровке файлов пострадавшему требуется найти на своём ПК файл .json с шестнадцатеричным именем файла и переслать его Майклу. Без этого файла дешифрование невозможно. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Striked Decrypter для дешифровки >>
Поддерживает расширения:
#<email>#id#<id> 
В конце 2017 года произошли изменения в функционале и работе шифровальщика. 
Чтобы вам помочь, найдите на ПК файл .json с шестнадцатеричным именем файла. 
Найдёте, обращайтесь по ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Striked)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ScorpionLocker

ScorpionLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: ScorpionLocker. На файле написано: ScorpionLocker.exe.


© Генеалогия: HiddenTear >> ScorpionLocker

К зашифрованным файлам добавляется расширение .ScorpionLocker

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secrect internet server and nobody can decrypt your files until you pay obtain the private key.
1. Pay amount 0.1 BTC(about of 1050 USD) to address: 1G***
2. Transaction will take about 15-30 minutes to confirm.
Meet me : scorpionlocker@gmail.com
All you have to do...
BTC Address: [ 1G*** ] [Copy]

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на безопасном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите за закрытый ключ.
1. Сумма оплаты 0.1 BTC (около 1050 долларов США) по адресу: 1G ***
2. Транзакция займет около 15-30 минут.
Встреча со мной: scorpionlocker@gmail.com
Все, что вам нужно сделать ...
BTC адрес: [ 1G*** ] [Copy]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Открытый мьютекс: Global\CLR_CASOFF_MUTEX

➤ Сайт вымогателей scorpionlocker.xyz в 2018 году оказался в распоряжении распространителей H34rtBl33d Ransomware

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
ScorpionLocker.exe
adobe_update.exe


Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://scorpionlocker.xyz 
Email: scorpionlocker@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Jack
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *