Если вы не видите здесь изображений, то используйте VPN.

пятница, 2 февраля 2018 г.

LockMe

LockMe Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и сетевых хранилищ с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: LockMe. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.
Надпись LockMe в ASCII

К зашифрованным файлам добавляется расширение .lockme

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на многоязычных пользователей (54 языка), потому может распространяться по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT_YOUR_FILES.txt

В ней есть текст на 54-х языках: английский, русский, китайский, немецкий, украинский, индонезийский, турецкий, польский, португальский, румынский, хорватский, африкаанс, итальянский, испанский, армянский, арабский, азербайджанский, белорусский, болгарский, каталанский, хорватский, чешский, датский, нидерландский, филиппинский, французский, грузинский, греческий, иврит, хинди, исландский, игбо, ирландский, казахский, курманджи, киргизский, лаосский, латинский, латышский, литовский, люксембургский, македонский, малагасийский, маори, монгольский, бирманский, непальский, норвежский, словацкий, словенский, таджикский, тайский, узбекский, вьетнамский. 

Содержание записки о выкупе (малая часть):
All of your files have been Encrypted with military grade system and impossible to brute force, cracking, or reverse engineering it !
If you want all of your files back send me 0.03 BTC .
[+] Your Unique ID : [***]
[+] Send BTC To This Address : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Send BTC : 0.03 BTC
[+] Contact Email : LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*) Don't try change the '.lockme' extensions , if you change it , your all files can be broken and can't be restored forever .
*) If you've made a payment contact LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com .
*) If you not made a payment all of your private files will be leaked on internet (private photos, documents, videos, and more) .
Question : How to buy Bitcoin ? 
Answer   : You can buy Bitcoin at this Website : bitcoin.com , coinbase.com , cex.io , paxful.com , coinmama.com , etc .
[+] Your IP : [***] | Your ID : [***] [+]

Все ваши файлы были зашифрованы с помощью системы военного класса и невозможны для грубой силы, взлома или реконструирования!
Если вы хотите, чтобы все ваши файлы отправили мне 0.03 BTC.
[+] Ваш уникальный идентификатор : [***]
[+] Отправить BTC на этот адрес : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Отправить BTC : 0.03 BTC
[+] Контактный адрес электронной почты : LockMecQqL3Ruy7V0RfZ@protonmail.com
*) Не пытайтесь изменить расширения .lockme, если вы его измените, все ваши файлы могут быть повреждены и не могут быть восстановлены навсегда.
*) Если вы сделали платежный контакт LockMecQqL3Ruy7V0RfZ@protonmail.com.
*) Если вы не сделали платеж, все ваши личные файлы будут просочились в Интернет (частные фотографии, документы, видеоролики и т. Д.).
Вопрос : Как купить биткойн?
Ответ : Вы можете купить Bitcoin на этом сайте: bitcoin.com, coinbase.com, cex.io, paxful.com, coinmama.com и т. Д.
[+] Ваш IP : [***] | Ваш ID : [***] [+]

所有的文件已经加密与军事级系统,不可能暴力破解,或逆向工程!
如果你想你所有的文件送我 0.03 BTC。
[+]您的唯一ID :[***]
[+]发送BTC到这个地址 :1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+]发送BTC :0.03 BTC
[+]联系电子邮箱 :LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*)不要尝试改变'.lockme'扩展名,如果你改变它,你的所有文件都可以被破坏,不能永久恢复。
*)如果您已经付款联系LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com。
*)如果您没有付款,所有私人文件将在互联网上泄露(私人照片,文档,视频等)。
问题 : 如何购买比特币?
: 您可以在本网站购买比特币:bitcoin.com,coinbase.com,cex.io,paxful.com,coinmama.com等。
[+] 您的IP :[***] | 您的ID :[***] [+]
***


Перевод записки на русский язык:
Уже сделан выше. Как можете заметить, перевод на русский довольно корявый. Сразу видно, что использовалась система автоматизированного перевода от Google. Но это могло быть сделано и умышленно. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы имеют маркер файлов: Salted__

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT_YOUR_FILES.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruy7V0RfZ@protonmail.com - только в тексте на русском языке
LockMecQqL3Ruyi7V0RfZ@tutamail.com и LockMe9hG1F7pbWqThUt9P8@mailfence.com - для всех других языков
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 июля 2018:
Пост в Твиттере >>
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruyi7V0RfZ@tutamail.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockMe)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-Frozen

Xorist-Frozen Ransomware

(шифровальщик-вымогатель)



Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные серверов с помощью XOR, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.


© Генеалогия: Xorist >> Xorist-Frozen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение ...Files-Frozen-NEED-TO-MAKE-PAYMENT-FOR-DECRYPTOR-OR-ALL-YOUR-FILES-WILL-BE-PERMANENLTY-DELETED

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your important files were FROZEN on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.5 bitcoins
Bitcoins have to be sent to this address: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
After you've sent the payment send us an email to : frozen_service_security@scryptmail.com  with subject : ERROR-ID-63100888(0.5BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Все ваши важные файлы были ЗАМОРОЖЕНЫ на этом компьютере.
Шифрование сделано с уникального КЛЮЧОМ, созданным для этого компьютера.
Для дешифрования файлов вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 36 часов после завершения шифрования.
ПОМНИТЕ, ЧТО ЕСТЬ ТОЛЬКО 24 ЧАСА ДЛЯ АВТОМАТИЧЕСКОЙ ОПЛАТЫ!
Для получения закрытого ключа вам надо заплатить 0,5 биткоина
Биткоины надо отправить по этому адресу: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
После отправки платежа пришлите нам письмо по адресу: frozen_service_security@scryptmail.com с темой: ERROR-ID-63100888(0.5BTC)
Если вы не знакомы с биткоинами, вы можете купить его здесь:
САЙТ: www.localbitcoin.com
После подтверждения платежа мы отправим секретный ключ, чтобы вы могли расшифровать свою систему.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
Email: frozen_service_security@scryptmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Xorist Ransomware - март 2016
Xorist-FakeRSA - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-XWZ Ransomware - март 2018
Xorist-Frozen Ransomware - февраль - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 марта 2018:
Сумма выкупа: 7 BTC
BTC: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
Email: Payment_Confirmation@scryptmail.com
Содержание записки о выкупе: 
All your important files were blocked on this computer.
Encrtyption was produced using unique key generated for this computer.
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 7 (BTC)
Bitcoins have to be sent to this address: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
After you've sent the payment send us an email to : Payment_Confirmation@scryptmail.com with subject : ERROR-ID-631009091(7-BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
Топик на форуме >>

Обновление от 24 апреля 2018:
Пост в Твиттере >>
Статья на MTA >>
Расширение: .PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Записка: HOW TO DECRYPT FILES.txt
Информатором жертвы также выступает диалоговое окно с тем же текстом.
Email: Email_Decryptor_Payment@scryptmail.com
BTC: 3J1MD7EAzdaYewBDA71t7NShkc64w4a41T
Сумма выкупа: 700 евро или 0.7 BTC в другом варианте
Содержание записки о выкупе: 
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of trie private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 700-EURO
PLEASE BE REZONABLE PAYMENT IS LITTLE ONLY 700 EURO
WE ACCEPT ONLY PAYMENT TO BITCOIN!
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com with subject : ERROR-ID-6212510
If you are not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
***
➤ Другой вариант записки:
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
Результаты анализов: 
VT + VT + VT

Обновление от 23 мая 2018:
Расширение: .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Email: Email_Decryptor_Payment@scryptmail.com
BTC: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
Записка: HOW TO DECRYPT FILES.txt
Содержание записки: Как в одном из вариантов от 24 апреля 2018. 


Обновление от 13 июня 2018:
Пост в Твиттере >>
Расширение:  ....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT
Email: repair_data@scryptmail.com
Сумма выкупа: 0.8 BTC
BTC-wallet: 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg
Файл: worker.exe
 
 Скриншоты записки и изображения с email вымогателей
➤ Содержание записки:
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/  (find a ATM)
https://www.localbitcoins.com/ (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.8 BTC
BTC ADRESS : 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : repair_data@scryptmail.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 10191xxx
Результаты анализов: HA + VT + Malshare
Пример топика на форуме >>


Обновление от 25 июня 2018: 
Расширение: .PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Вторая часть расширения на картинке: id-F25E5DE4.[Worldcry@cock.li] - от шифровальщика Dharma
Записка: HOW TO DECRYPT FILES.txt 
➤ Содержание записки: 
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
➤ Записи в реестре:
HKEY_CLASSES_ROOT\....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO\DefaultIcon
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO\shell\open\command
Топик на форуме >>
Результаты анализов: VT + HA + VMRay + JSA

Обновление от 26 июня 2018: 
Расширение:
....FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY
Топик на форуме >>

Обновление от 5 июля 2018:
Расширение:
.NEED-TO-MAKE-PAYMENT-OR-ALL-YOUR-FILLES-WILL-BE-DELETED-CRITICAL-SITUATION-URGENT-ATTENTION-24-HOURS-TO-PAY-OR-EVERYTHING-WILL-BE-PERMANENTLY-DELETED-FOREVER

Записка: HOW TO DECRYPT FILES.txt
Email: Payment_Confirmation@scryptmail.com
BTC: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
➤ Содержание записки:
All your important files were FROZEN on this computer.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 7 (BTC)
Bitcoins have to be sent to this address: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
After you've sent the payment send us an email to : Payment_Confirmation@scryptmail.com with subject : ERROR-ID-631009091(7-BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
Красным помечена слова с ошибками. 
Результаты анализов: VT + AR

Обновление от 8 июля 2018:
Пост в Твиттере >>
Расширение: ...DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED
Email: FSA2018@scryptmail.com
BTC: 3HtA9MAZGh3m6NAtRc6fQRWbfFE2z7MYUW
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.08 BTC -> Please be rezonable the Payment is NOT HIGH!
BTC ADRESS : 3HtA9MAZGh3m6NAtRc6fQRWbfFE2z7MYUW (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : FSA2018@scryptmail.com   (24/8)
Subject : SYSTEM-LOCKED-ID: 8866102xxx
Топик на форуме >>

Обновление от 15 октября 2018:
Пост на форуме >>
Расширение:  ...DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED
Email: restore_service@scryptmail.com
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание:
YOUR SYSTEM IS BLOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN BLOCKED.
DON'T WORRY YOUR FILES ARE SAFE.
TO REPAIR YOUR SYSTEM AND RETURN TO NORMAL YOU MUST BUY THE FIXER TOOL
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.5 BTC
BTC ADRESS : < btc address > (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : restore_service@scryptmail.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 1989102018


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: ....VeraCrypt_System_Error2019-You_need_to_make_payment_in_maxmin_24_hours_if_you_dont_the_decryptor_license_will_be_deleted_this_is_not_a_joke
Записка: HOW TO DECRYPT FILES.txt
Email: restore_service99@scryptmail.com


Обновление от 23 октября 2020:
Расширение: .system_damaged_payment_must_be_done_in_maxim_24_hours_or_your_encryption_key_will_be_deleted_forver
Email: ineedmoney12@tutanota.com
BTC: 18Tymv8EpXorQgEtP5L6x1x93ZT9a8eSPw
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 5 BTC
BTC ADRESS : 18Tymv8EpXorQgEtP5L6x1x93ZT9a8eSPw (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : ineedmoney12@tutanota.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 0SW1032770




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать XoristDecrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Альтернативный вариант:
Есть еще один дешифровщик, регулярно обновляемый!
За помощью обращайтесь по ссылке к thyrex >>  Twitter
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 BleepingComputer, Michael Gillespie
 Alex Svirid, Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tear Dr0p

Tear Dr0p Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует пройти тест (игру), чтобы получить высокий балл и вернуть файлы. Оригинальное название проекта: Tear Dr0p.pdb. На файле написано: Tear Dr0p.exe. Комментарий: Tear Dr0p - Joke ransomware program. Разработчик: Tear Dr0p.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Tear Dr0p

К зашифрованным файлам добавляется расширение .teardr0p

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files have been encrypted with AES, using 256 bit private key

You're really unlucky ):
You have been infected with "TEAR DR0P" ransomware, oh no I've encrypted your files!
First of all DO NOT remove the " .teardr0p" from the files! This tells the decryptor what files to decrypt!

Fear not, this isn't one of those "pay to unlock" ransomware, you just have to pass the "test"

You can do one (or more) of the following)
1: Pass the "test" and I'll decrypt your files!
2: Crack the program and find the decryption key!
3: Remove "Tear Dr0p.exe" from your App Data folder (You won't get your encrypted files back though)

Перевод текста на русский язык:
Ваши файлы зашифрованы с AES, используя 256-битный закрытый ключ

Вам действительно не повезло):
Вы заражены "TEAR DR0P" ransomware, о нет, я зашифровал ваши файлы!
Прежде всего НЕ удаляйте ".teardr0p" из файлов! Это говорит декриптору, как файлы дешифровать!

Не бойтесь, это не одна из тех, вымогателей "плата за разблок", вам просто нужно пройти "тест",

Вы можете сделать одно (или более) из следующего)
1: Пройти "тест" и я расшифрую ваши файлы!
2: Взломать программу и найдите ключ дешифрования!
3: Удалить "Tear Dr0p.exe" из папки App Data (но тогда вы не вернёте свои зашифрованные файлы)


Звуковые сообщения:
"Your files have been encrypted with AES, using 256 bit private key" 
"please cry more"
"hahaha your files have been encrypted, please cry more" 
"Invaild points cannot decrypt ): Play the game and get a high score to decrypt your files.." 

Перевод сообщения на русский язык:
"Ваши файлы зашифрованы с AES, используя 256-битный закрытый ключ"
"пожалуйста, плачьте больше"
"Хахаха, ваши файлы зашифрованы, пожалуйста, плачьте больше"
"Недопустимые точки не расшифровать): Играйте в игру и получите высокий балл для расшифровки ваших файлов.."

Предлагаемая игра-тест от вымогателя



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.7z, .c, .cpp, .doc, .docx, .gif,.htm, .html, .java, .jpeg. .zip, .jpg, .mp3, .mp4, .ogg, .pdf, .phtml, .png, .rar, .sql, .svg, .txt, .vb, .xhtml, .xls, .xml, .zipx (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Tear Dr0p.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *