Если вы не видите здесь изображений, то используйте VPN.

суббота, 16 сентября 2017 г.

InfinityLock

InfinityLock Ransomware

InfinityCrypt Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.17 BTC (сумма может различаться), чтобы вернуть файлы. Оригинальное название: InfinityLock. На файле написано: PremiereCrack.

Обнаружения:
DrWeb -> Trojan.Encoder.29537, Trojan.Encoder.29538, Trojan.Encoder.32437
BitDefender -> Trojan.Generic.22249329, Generic.Ransom.Hiddentear.A.3B16324D
ALYac -> Trojan.Ransom.InfinityLock
Avira (no cloud) -> TR/DelFile.rghsx, HEUR/AGEN.1033406
Kaspersky -> Trojan-Ransom.Win32.Gen.fkh, UDS:DangerousObject.Multi.Generic
Symantec -> Ransom.CryptXXX

© Генеалогия: ✂️ HiddenTear + другой код >> InfinityLock

Ко всем зашифрованным файлам добавляется одинаковое случайное расширение, которое берется из HWID компьютера. 

Например: 
.A34A329ECD4B215BE8CDA567F5F8F97C5C99342B705C01D9A79BAB35E3C1474E
.D00B02273B379AB8DC85DA1D169468DA72624C73E6BAEB34B3D0AC86ACE4F3DD


Код из ресурса
Так выглядят зашифрованные файлы

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: INFINITYLOCK_UNIQEID.TXT

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола. Текст на фоне плохо читается. Но после моей обработки изображения текст стал доступен. 
InfinityLock Ransomware
Оригинальное изображение
InfinityLock Ransomware
Обработанное изображение

Содержание текста о выкупе:
YOU BECAME A VICTIM Of THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!

Перевод текста на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ INFINITYLOCK RANSOMWARE!
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С RSA 2048
НЕ ПЫТАЙТЕСЬ УДАЛИТЬ МЕНЯ
ПОСЛЕ КАЖДОЙ ПОПЫТКИ СДЕЛАТЬ ЧТО-ТО Я УДАЛЮ ФАЙЛЫ
ПЛАТИТЕ 0.17 БИТКОИНА НА ЭТОТ АДРЕС: 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
ВЫ МОЖЕТЕ КУПИТЬ БИТКОИНЫ НА "BLOCKCHAIN.INFO"
ОТПРАВЬТЕ СВОЙ УНИКАЛЬНЫЙ ID В ОПИСАНИИ БИТКОИН-ОПЛАТЫ
ВЫ НАЙДЁТЕ ЕГО НА РАБОЧЕМ СТОЛЕ В "INFINITYLOCK_UNIQEID.TXT"
ПОСЛЕ ОПЛАТЫ ВАШИ ФАЙЛЫ БУДУТ ДЕШИФРОВАНЫ!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выдаёт себя за крак для ПО Adobe Premiere. Также использует значок этой программы. Отсюда название PremiereCrack.exe

Это Ransomware дешифруем и в плане шифрования не является инновационным, но экран блокировки, который он отображает для своих жертв, более интересен. Вместо того, чтобы показывать обычный статический экран блокировки или записку о выкупе, InfinityLock отображает на экране фальшивую командную строку Windows, демонстрирующую ввод команды хакера для шифрования компьютера и текст вымогателя. У жертвы может возникнуть паника и желания остановить работу шифровальщика его закрытием, но это не поможет. 
На самом деле когда InfinityLock запускается, он сразу начинает шифровать файлы, добавляя к ним расширение, основанное на HWID жертвы процессора. И только по окончании шифрование файлов он отображает экран блокировки, имитирующий поддельную командную строку Windows. Это можно увидеть по ссылке на видео-ролик в блоке ссылок.


Шифрует все файлы на всех дисках:
encrypt.exe -alldata -randomkeysend -rsa2048 -alldrives

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INFINITYLOCK_UNIQEID.TXT
PremiereCrack.exe
UI.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 сентября 2019 (фактически только другой образец):
Пост в Твиттере >>
К зашифрованным файлам добавляется одинаковое расширение, которое берется из HWID компьютера. 
Например: .A34A329ECD4B215BE8CDA567F5F8F97C5C99342B705C01D9A79BAB35E3C1474E
Файл проекта: PremiereCrack.pdb
Файлы: UI.exe, Endermanch@InfinityCrypt.exe 
BTC: 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE
Результаты анализов: VT + HA + IA
➤ Содержание записки:
YOU BECAME A VICTIM OF THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE FOR DECRYPTION!
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID AND YOUR CONTACT EMAIL IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!



Обновление от 31 августа 2020:
Расширение: такое же, как и прежде
Не оставляет записку в результате ошибки в программе или имеет защиту от исследования на VM. 
URL: arizonacode.bplaced.net
Файл проекта: PremiereCrack.pdb
Файл EXE: PremiereCrack.exe
Результаты анализов: VT + HA + IA + VMR + AR + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32437
BitDefender -> Trojan.GenericKD.34415657
ESET-NOD32 -> A Variant Of MSIL/Filecoder.JX
Malwarebytes -> HackTool.Agent
Microsoft -> Trojan:Win32/Ymacco.AABF
Symantec -> Ransom.CryptXXX

TrendMicro -> Ransom_Agent.R002C0WHP20






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Пострадавшим рекомендую обратиться по одной из этих ссылок: 
BleepingComputer >>
Michael Gillespie >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware  (ID as InfinityLock)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Leo
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

пятница, 15 сентября 2017 г.

Blind

Blind Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. Видео-обзор Blind Ransomware см. по ссылке
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Blind > Blind-2 (Blind-Napoleon)

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].blind 

На данный момент это: .[blind@cock.li].blind
Пример зашифрованного файла: my_document.[blind@cock.li].blind

В новых версиях использовались другие расширения. Смотрите блок ниже.  



Blind Family (семейство Blind):
Blind Original + updates: .blind, .kill, .leon
Blind-2 (Blind-Napoleon): .napoleon, .skeleton, .blind2


Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_Decrypt_Files.hta

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail blind@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
 Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Your personal identification number: 
3D1841ED0059EFAD0392443421FF6*****

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email blind@cock.li
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
  Также вы можете найти другие места, где можно купить Биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Ваш личный идентификационный номер:
3D1841ED0059EFAD0392443421FF6*****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Идентификатор жертвы добавляется к зашифрованному файлу.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_Decrypt_Files.hta
<random>.exe
netcache64.sys - файл, необходимый для дешифрования файлов
🔓 Для успешной дешифровки найдите и сохраните файл netcache64.sys

Расположения:
%APPDATA%\netcache64.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blind@cock.li
См. ниже результаты анализов.

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2017:
Расширение: .kill
Составное расширение: .[kill@rape.lol].kill
Email: kill@rape.lol
Записка: How_Decrypt_Files.hta
Тема поддержки >>
<< Скриншот записки
Результаты анализов: VT


Обновление от 2 декабря 2017:
Пост в Твиттере >>
См. мою статью Blind 2 (Blind-Napoleon)
Расширение: .napoleon
Составное расширение: .[supp01@airmail.cc].napoleon
Записка: How_Decrypt_Files.hta
Email: supp01@airmail.cc и supportdecrypt2@cock.li
<< Скриншот записки
Результаты анализов: VT



Обновление от 13 декабря 2017:
См. мою статью Blind 2 (Blind-Napoleon) - блок обновлений внизу
Расширение: .skeleton
Составное расширение: .[skeleton@rape.lol].skeleton
Записка: How_Decrypt_Files.txt
Email: skeleton@rape.lol
Файлы: skeleton.exe
Результаты анализов: VT

Обновление от 4 января 2018: 
Расширение: .leon
Составное расширение: .[atilla666@tutanota.com].leon
Шаблон расширения: .[<email>].leon
Записка: How_Decrypt_Files.hta
Email: atilla666@tutanota.com
Результаты анализов: VT
Скриншоты записки >>

***



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
Специалисты Dr.Web могут дешифровать файлы с расширениями .blind и .kill
Сообщите нам о результатах. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blind)
 Write-up, Topic of Support
 🎥 Video review 

 Thanks: 
 Michael Gillespie
 GrujaRS
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Bud

Bud Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 евро в # BTC, чтобы вернуть файлы. Оригинальное название: RegisterCGS. На файле написано: Corel Activation Service и armscv.exe. Фальш-копирайт: Corel Corporation.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bud 

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Выдаёт себя за легитимную программу от Corel Corporation. 

Запиской с требованием выкупа выступает экран блокировки:
Bud Ransomware

Содержание записки о выкупе:
Ooops, your important files are encrypted!
If you see this text, then your files are no longer accessible,because they have been encrypted
Perhaps you are busy looking for a way to recover your files
Nobody can recover your files without our decryption key
We guarantee that you can recover your files safely and easily
All you need to do is to submit the payment to the BTC address down below
After the payment is sent, click the check -(payment button) and you get your files back ***
Dont try to close me or to restart the computer
The fun starts now, every hour more files will get lost forever, so hurry up!
---
More files get lost every hour!
[View encrypted files]
Send 500€ to the bitcoin adress:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[I want my files back, check if payment was made!]

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы!
Если вы видите этот текст, то ваши файлы не доступны, потому что они были зашифрованы
Возможно, вы ищете способ восстановления файлов
Никто не сможет восстановить ваши файлы без нашего ключа дешифрования
Мы гарантируем, что вы сможете безопасно и безопасно восстанавливать файлы
Все, что вам нужно сделать, это отправить платеж на адрес BTC ниже
После отправки платежа нажмите кнопку проверки (payment button), и вы получите файлы назад
Не пытайтесь закрыть меня или перезагрузить компьютер.
Чтобы было весело, ежечасно часть файлов будут уничтожаться, поэтому поторопитесь!
---
Больше файлов уничтожатся каждый час!
Просмотр зашифрованных файлов.
Отправьте 500 евро на адрес биткойна:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[Я хочу вернуть свои файлы, проверьте сделанную оплату!]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RegisterCGS.exe
<random>.exe

Расположения: 
%APPDATA%\Corel\RegisterCGS.exe
%LOCALAPPDATA%\Corel\CorelCGS.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bud)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 14 сентября 2017 г.

Kryptonite RBY

Kryptonite RBY Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: Kryptonite.exe и Copyright RBY.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение с надписями на русском и английском.
Kryptonite RBY Ransomware

Содержание записки о выкупе:
ВНИМАНИЕ!
В этой фотографии скрывается флаг.

ATTENTION!
All the files on your disk were encrypted.



Translation of the first phrase into English:
ATTENTION!
In this photo the flag is hidden.

Перевод второй фразы на русский язык:
ВНИМАНИЕ!
Все файлы на вашем диске были зашифрованы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kryptonite.exe
<image>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 13 сентября 2017 г.

Mystic

Mystic Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1.01 BTC, чтобы вернуть файлы. Оригинальное название: Mystic
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. Маркер файлов не используется. 

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.txt
Mystic Ransomware

Содержание записки о выкупе:
Your computer has been hacked and your files have been locked.
You have 5 days left to recover your files so quickly follow recovery process below.
Recovery Process in 3 easy steps (Automated System. No human intervention. Works 24/365):
1) Buy 1.01 BitCoin Approx 280$. (Easiest buying option is www.localbitcoins.com) and goto the following website:
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Send payment of 1.01 Bitcoin to the address in the website given above.
3) In approx 15 minutes after making the payment to the bitcoin address, Go back to the above website. If payment is successful then you will receive unlock instructions.
Don't delete or modify this ransom file till recovery of files as no recovery is possible without this file. This file is on your desktop for future use.
 List of files which have been locked are given below.
-- MYSTIC

Перевод записки на русский язык:
Ваш компьютер взломан, а ваши файлы заблокированы.
У вас осталось 5 дней для восстановления файлов, следуйте за быстрым процессом восстановления ниже.
Процесс восстановления в 3 простых шага (автоматическая система без вмешательства человека. Работает 24/365):
1) Купить 1.01 BitCoin около 280$. (Самый простой вариант покупки - www.localbitcoins.com) и перейти на следующий веб-сайт:
хххх://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Отправить платеж в размере 1.01 биткойн на адрес указанного выше веб-сайта.
3) Примерно через 15 минут после внесения платежа в биткоин-адрес вернитесь к вышеуказанному веб-сайту. Если платеж будет успешным, вы получите инструкции по разблокировке.
Не удаляйте и не изменяйте этот файл выкупа до восстановления файлов, т.к. без этого файла восстановление невозможно. Этот файл находится на вашем рабочем столе для будущего использования.
  Список блокированных файлов приведен ниже.
-- MYSTIC


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.txt - содержит список зашифрованных файлов на компьютере жертвы

Расположения:
\Desktop\ransom.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adtracker.tk***
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mystic)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *