Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 октября 2017 г.

BugWare

BugWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA для ключа, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BugWare. На файле написано: PDF DOCUMENT и doc_2017100200000-15.pdf.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону .[SLAVIC@SECMAIL.PRO].BUGWARE
Изображение жука в шифровальщике

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует. Текст о выкупе скрыт в экране блокировки. 

Запиской с требованием выкупа выступают экран блокировки и изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
Olá,
Infelizmente, todos seus arquivos pessoais e banco de dados foram criptografados com algoritmos usados pelo governo com uma chave de 256 bits, mas não se assuste, ha uma solução fácil e segura para obter seus arquivos de volta, pagando a quantia de MIL REAIS em uma moeda virtual chamada MONERO para o Endereço que se encontra logo acima.
-
Assim que o você fizer o pagamento envie para o meu Email o codigo gerado na transação junto com a Sua Identificação que se encontra logo acima e também a senha criptografada com RSA-2048 que se encontra no campo de texto acima.
-
Atenção:
Não perca seu tempo procurando soluções para descriptografar de graça os arquivos usando programas na INTERNET,eles corromperão seus arquivos tornando a descriptografia impossivel mesmo com a chave correta.
VOCÊ TEM APENAS 72HORAS PARA FAZER 0 PAGAMENTO E DESCRIPTOGRAFAR SEUS ARQUIVOS CASO CONTRARIO SEUS ARQUIVOS SERÃO APAGADOS!
-
COMO COMPRAR MONERO:
Para comprar monero você precisa comprar bitcoins, use o site https://foxbit.com.br/ 
para comprar bitcoin,depois de comprado,compre o monero com seu bitcoin no site https://poloniex.com/
Abaixo alguns tutoriais no youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
CASO QUEIRA PAGAR EM OUTRA CRIPTOMOEDA ENTRE EM CONTATO PELO EMAIL ACIMA!
-

Перевод текста на русский язык:
Привет,
К сожалению, все ваши личные файлы и базы данных были зашифрованы с помощью правительственных алгоритмов с ключом 256-бит, но не паникуйте, есть простое и безопасное решение для возврата ваших файлов путем оплаты тысячи реалов в одну виртуальную валюту, называемую MONERO, на адрес, который находится чуть выше.
-
Как только вы сделаете платеж, отправьте на мой E-mail код, сгенерированный в транзакции, вместе с вашим Идентификатором, который находится выше, а также пароль, зашифрованный с помощью RSA-2048, который находится в текстовом поле выше.
-
Обратите внимание:
Не тратьте время на поиск решений для дешифрования файлов с помощью программ в сети Интернет, они испортят ваши файлы, что сделает невозможным дешифрование даже с помощью правильного ключа.
У ВАС ЕСТЬ ТОЛЬКО 72 ЧАСА, ЧТОБЫ СДЕЛАТЬ ОПЛАТУ И РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ, ИНАЧЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ!
-
КАК КУПИТЬ MONERO:
Чтобы купить monero, вам нужно купить биткоины, используя сайт https://foxbit.com.br/
купить биткойн, после покупки купить monero на ваши биткоины на сайте https://poloniex.com/
Ниже несколько руководств на Youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
ЕСЛИ ВЫ ХОТИТЕ ПЛАТИТЬ В ДРУГИХ КРИПТОВАЛЮТАХ СВЯЖИТЕСЬ C НАМИ ПО EMAIL ВЫШЕ!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
doc_2017100200000-15.pdf.exe (7-zip)
bugware.exe или <random>.exe
bugware.bmp или wpp.bmp - изображение на обои Рабочего стола
Lista.log 

Расположения:
%AppData%\Lista.log
%Desktop%\bugware.bmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BUGWARE\
HKCU\SOFTWARE\BUGWARE\Arquivos
HKCU\SOFTWARE\BUGWARE\Chavepriv8
HKCU\SOFTWARE\BUGWARE\Enviado
HKCU\SOFTWARE\BUGWARE\ID

HKCU\SOFTWARE\BUGWARE\prazo
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: slavic@secmail.pro
URL: xxxx://dedamento-vendas.xyz/***

xxxx://getrichordietryin.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября:
Пост в Твиттере >>
https://twitter.com/malwrhunterteam/status/918403062993182720
Расширение: .[SLAVIC@SECMAIL.PRO].CRIPTOGRAFADO
На файле написано:  D.O.C.U.M.E.N.T.O
Файлы: boleto-atualizado-7853.docx.scr и boleto-atualizado-7852.exe
BTC: 1PNFVruiLaN4Bh8Jgbw5LEjMaxGBMZvoXc
Результаты анализов: VT
Скриншоты экрана блокировки, списка стран и обоев рабочего стола.
Срок уплаты выкупа увеличился с 72 часов до 168 (неделя), но так ли это. 
Разработчик оставил в ресурсах неприятный мем о женщинах с надписями в виде поговорки. 


Обновление от 18 октября 2017:
Пост в Твиттере >>
Расширение: .[MAXVISION@SECMAIL.PRO].CRIPTOGRAFADO
Файлы: conversa-whatsapp-backup.scr
*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BugWare)
 Write-up, Topic of Support
 * 
Added later:
Write-up by Zscaler (December 2, 2017)
*
*
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Zscaler
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Atchbo

Atchbo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в от 0.007 BTC, чтобы вернуть файлы. Оригинальное название: Atchbo Ransomware. На файле написано: Atchbo Ransomware2.0v.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ExoLock > Atchbo 

К зашифрованным файлам добавляется расширение .exo

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: UnlockYourFiles[0-49].txt
С номерами до 49-ти. Они разбрасываются на рабочем столе. 
В записке указан новый BTC-адрес, но осталась от ExoLock старая сумма выкупа в 0.01 bitcions. 

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
All files have been infected
Get decrypt your files in 4 steps
1.Go to "www.anycoindirect.eu/en/buy/bitcoins"
2.Pay 0.007 bitcoins to the BITCOIN Address in one of the Desktop Text Files
3.Once confirmed your files will be decrypted
4. And you can ENJOY your computer
BTC Address: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk

Перевод текста на русский язык:
Все файлы были заражены
Расшифруйте свои файлы за 4 шага
1. Идите на "www.anycoindirect.eu/ru/buy/bitcoins"
2. Платите 0.007 биткоина на BITCOIN-адрес в одном из текстовых файлов на рабочем столе
3. После подтверждения ваши файлы будут расшифрованы
4. И вы сможете НАСЛАЖДАТЬСЯ своим компьютером
BTC адрес: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов на диске "C" командой:
vssadmin.exe delete shadows /for=c: /all

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Atchbo Ransomware2.0v.exe
ExoGUI.exe
UnlockYourFiles[0-49].txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: exolockexolock.000webhostapp.com (145.14.145.179 Нидерланды)
BTC: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2018:
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
URLs: 
xxxx://basicinfo-logsnotif00.000webhostapp.com/recovery-answer.html
xxxx://panampekanbaru123.000webhostapp.com/cekpoint-loogin-1.html
xxxx://juijd.000webhostapp.com/
xxxxs://sites-fb-recovery-2018.000webhostapp.com/recovery-answer.html
Результаты анализов: HA + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Atchbo)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 9 октября 2017 г.

LockOn

LockOn Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockOn и Product Lockon Ransomware. На файле написано: Lockon Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear? >> LockOn


Изображение из ресурсов LockOn

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке, т.к. шифрует файлы только в тестовой папке на Рабочем столе. Разработчик, судя по некоторым элементам экрана блокировки, может быть из Франции. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
The whole of your computer has just been encrypted by LockOn to unlock your computer and retrieve your file please pay the ransom to the address bitcoin!
Here are the steps:
1 - Go to: https://www.localbitcoins.com
2 - Create an account
3 - Collect the sum stipulated below in bitcoins
4 - Sent to the address bitcoins 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
5 - You will receive a key that will unlock your computer!
Any attempt to reverse the ransomware or other will result in a destruction of the computer!

Перевод текста на русский язык:
Весь компьютер был зашифрован LockOn, чтобы разблокировать компьютер и получить ваш файл, пожалуйста, заплатите выкуп на биткоин-адрес!
Вот шаги:
1 - Перейдите по ссылке: https://www.localbitcoins.com
2 - Создайте учетную запись
3 - Соберите сумму, указанную ниже в биткоинах
4 - Отправьте на биткоин-адрес 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
5 - Вы получите ключ, который разблокирует ваш компьютер!
Любая попытка отменить выкуп или другое приведёт к повреждению компьютера!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Lockon Ransomware.exe
[HOT][+18] CHECKER PORN.exe
\test\

Расположения:
C:\Users\Exploits\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 3 октября 2017 г.

BTCWare-PayDay

BTCWare-PayDay Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле может быть написано, что угодно.
BTCWare-PayDay Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-PayDay

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>]-id-<id>.payday

В <id> может быть 3 или 4 знака (английские буквы и цифры).
Сначала даже была цифра 0. 

Сейчас с почтой keyforyou@tuta.io используется шаблон 
.[keyforyou@tuta.io]-id-<id>.payday
.[keyforyou@tuta.io]-id-0.payday

Шаблон в коде записан как: %s.[%s]-id-%X.payday

Активность этого крипто-вымогателя пришлась на начало октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !! RETURN FILES !!.txt
Содержание записки о выкупе:
all your files have been encrypted
want return files?  
write on email: keyforyou@tuta.io

Перевод записки на русский язык:
все ваши файлы зашифрованы
хотите вернуть файлы?
напишите по email: keyforyou@tuta.io

Также информатором жертвы выступает файл payday.hta
У кого он есть, присылайте скриншот!!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
 cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
 vssadmin.exe Delete Shadows /All /Quiet
 cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} recoveryenabled No
 cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!! RETURN FILES !!.txt
payday.hta
<random>.exe
svhost.exe

Расположения:
\%APPDATA%\<random>.exe
\AppData\Roaming\payday.hta
\%APPDATA%\!! RETURN FILES !!.txt
%USERPROFILE%\Desktop\!! RETURN FILES !!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 октября 2017:
Расширение: .payday

Составное расширение: .[<email>]-id-<id>.payday
Пример расширения: .[aversia@tuta.io]-id-0.payday
Email: aversia@tuta.io
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta

Обновление от 9 октября 2017:
Пример расширения: .[payday@cryptmaster.info]-id-1CE0.payday
Email-1: payday@cryptmaster.info (блокирован)
Email-2: payday@cock.lu (новый)
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta

Обновление от 11 октября 2017:

Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Пример расширения: .[Checkzip@india.com]-id-CE4.payday
Email-1: Checkzip@india.com и payday@cryptmaster.info
Email-2: payday@cryptmaster.info (блокирован)
Email-3: payday@cock.lu (новый)
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta
Результаты анализов: HA + keys + VT 
Скриншоты записок:
payday.hta - оригинал
!! RETURN FILES !!.txt - реконструкция



Другие обновления октября 2017:
Email: lockers@tutamail.com + car1333as@gmail.com
Email: helper05@cock.li



Обновление от 3 ноября 2017: 
Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Пример расширения: .[chukabra@tuta.io]-id-1E90.payday
Email: chukabra@tuta.io
Записка: !! RETURN FILES !!.txt
Содержание записки: 
all your files have been encrypted 
want return files?  
write on email: chukabra@tuta.io


Обновление от 13 ноября 2017:
Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Записка: !! RETURN FILES !!.txt
Email: gh0stcrypt@tuta.io и whitedevil@tutanota.de
Результаты анализов: VT + VT 



Обновление от 28 ноября 2017:
Пост в Твиттере >>
Условное название: BTCWare-Shadow
Расширение: .shadow
Составное расширение: .[<email>]-id-<id>.shadow
Шаблон из кода: %s.[%s]-id-%X.shadow
Примеры расширений: .[paydayzgcock.li]-id-11DC.shadow
.[paydayz@cock.li]-id-B2C.shadow
Записки: !! RETURN FILES !!.txt и payday.hta
<< Скриншот записки
Расположение: "%APPDATA%\payday.hta"
Email: paydayz@cock.li, kekin@cock.li
Файлы: payload.exe
Результаты анализов: HA + VT + VT


Обновление от 5 декабря 2017:
Пост в Твиттере >>
Условное название: BTCWare-Shadow
Расширение: .wallet (на основе .shadow)
Составное расширение: .[<email>]-id-<id>.wallet
Шаблон расширения из кода: %s.[%s]-id-%X.wallet
Пример расширения: .[arkana@tuta.io]-id-A4.wallet
Записка: ! FILES ENCRYPTED.txt
<< Скриншот записки
Email: arkana@tuta.io
Результаты анализов: VT



Обновление от 7 декабря 2017:
Пост в Твиттере >>
Расширение:  .wallet 
Составное расширение: .[shadowzone@cock.li or shadowzone@india.com]-id-300.wallet
Шаблон расширения из кода: %s.[%s]-id-%X.wallet
Записка: ! How Decrypt Files.txt
<< Скриншот записки
Email: shadowzone@cock.li и shadowzone@india.com
Файл: payload.exe
Результаты анализов: VT

Обновление от 14 декабря: 
Расширение: .shadow
Шаблон расширения из кода: %s.[%s]-id-%X.shadow
Записка: !! RETURN FILES !!.txt
Email: paydayz@cock.li
Файл: <random>.exe
Результаты анализов: VT

Обновление от 16 декабря: 
Расширение: .wallet
Шаблон расширения: .[isso32@tutanota.com]-id-<id>.wallet
Email: isso32@tutanota.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 21 декабря: 
Расширение: .wallet
Шаблон расширения: .[slaker@india.com]-id-<id>.wallet
Email: slaker@india.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 21 декабря 2017:
Расширение: .wallet
Составное расширение: .[cryptomafia@tuta.io]-id-DF8.wallet
Файл: cryptomafia@tuta.io.exe
Записки: ! How Decrypt Files.txt и payday.hta 

Обновление от 27 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[decrypt@btcdecrypt.top]-id-<id>.wallet
Email: decrypt@btcdecrypt.top
Файл: <random>.exe
Результаты анализов: VT

Обновление от 27 декабря 2017:
Расширение:  .payday
Шаблон расширения: .[ap0calypse@india.com]-id-<id>.payday
Email: ap0calypse@india.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 27 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[erwind@tuta.io or oddy@tuta.io]-id-<id>.wallet
Email: erwind@tuta.io и oddy@tuta.io
Файл: <random>.exe
Результаты анализов: VT

Обновление от 28 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[payday@rape.lol]-id-<id>.wallet
Email: payday@rape.lol
Файл: machine.exe
Результаты анализов: VT


Обновление от 18 января 2018: 
Расширение: .wallet
Составное расширение: .[unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch]-id-42C4.wallet
Email: unlocksupp@airmail.cc
BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch
Записки: ! FILES ENCRYPTED.txt и payday.hta
Пост на форуме BC >>
Тема на форуме KasperskyClub >>



Обновление от 7 февраля 2017:
Расширение:  .wallet 
Шаблон расширения: .[decrypt@btcdecrypt.top.lol]-id-<id>.wallet
Пример расширения: .[decrypt@btcdecrypt.top]-id-4AEC.wallet
Email: decrypt@btcdecrypt.top





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare PayDay)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *