Если вы не видите здесь изображений, то используйте VPN.

суббота, 15 сентября 2018 г.

Viro Botnet

ViroBotnet Ransomware

"Viro Botnet" + Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот модульный вредонос включает в себя крипто-вымогатель, который шифрует данные пользователей с помощью RSA, а затем требует выкуп в 500€ в BTC, чтобы вернуть файлы. Оригинальное название вредоноса: Viro Botnet. Название exe-файла шифровальщика: Office Updater. На этом файле написано: Office Updater.exe и Office updater background task.
Прочтите также "Примечание №1" после статьи. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt
ViroBotnet Ransomware

Содержание записки о выкупе:
Vos fichiers personnels ont été chiffrés. Lisez les instructions du logiciel.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы. Прочтите инструкции по программе.

Запиской с требованием выкупа также выступает экран блокировки:
ViroBotnet Ransomware

Содержание текста о выкупе:
Vos fichiers personnels ont été chiffré.
Pour les déchiffrer, envoyez 500€ de bitcoins à cette adresse :
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Toute tentative de destruction de ce logiciel entraînera la destruction de la clé de déchiffrement.
Toute tentative de déchiffrement avec une clé erronée entraînera la perte définitive de vos fichiers.
Vous avez 72 heures pour effectuer le paiement. Après quoi, la clé de déchiffrement sera supprimée.
Clé de déchiffrement : [...]
[Déchiffrer mes fichiers]

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы.
Для их дешифровки пришли биткоины на 500€ на этот адрес:
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Любая попытка уничтожить эту программу уничтожит ключ дешифрования.
Любая попытка дешифровки с неправильным ключом повредит ваши файлы.
У вас есть 72 часа для оплаты. После этого ключ дешифрования будет удален.
Ключ дешифрования: [...]
Расшифровать мои файлы



Технические детали

Если это является частью модульного вредоносного ПО и включает модуль Office Updater.exe, то видимо планируется распространять это через перепакованные и портативные дистрибутивы новых версий MS Office, распространяемых потому бесплатно. Заранее важно знать, чем грозит загрузка и использование таких незаконно-бесплатных программ. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует Microsoft Outlook для отправки спам-писем каждому пользователю из списка контактов. При этом вредонос отправит копию самого себя или вредоносный файл, загруженный с его C&C-сервера.
ViroBotnet Ransomware

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .mdb, .odt, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sin, .swp, .txt, .xls, .xlsx, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
README.txt
Office Updater.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




Примечание №1
  Главное предназначение вредоноса под названием "Viro Botnet", это организация ботнета, т.е. создание сети заражённых вредоносным ПО компьютеров (ботов), через которую киберпреступники могут удалённо управлять заражёнными машинами, используя их для рассылки спама, анонимного доступа, кражи информации и кибершпионажа; иначе: зомби-сеть. Модуль, отвечающий за шифрование, призван по команде или автоматически причинять ещё больший ущерб. К сожалению, более подробную информацию мы не получили. 
  Но ведь пострадавшему пользователю ПК, находящемуся в истерике или на грани нервного срыва, неважно, как вымогатель устроен внутри (в целом, модульно, построчно и пр.). Его атаковали — теперь он должен понять, кто атаковал, найти информацию (пусть даже небольшую), если у него есть интернет-доступ и оценить ущерб, чтобы принять решение, что ему делать дальше. 
  Если пострадавший не найдёт эту информацию, он может пострадать ещё больше (заплатить выкуп и не вернуть данные, биться в истерике по поводу потери важной информации, потерять работу и пр. пр.). 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 14 сентября 2018 г.

Rektware

Rektware Ransomware

PRZT Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: rektware. На файле написано: нет данных. Возможно, находится в разработке. Написан на AutoIt.
---
Обнаружение: 
DrWeb -> Trojan.Encoder.30003, Trojan.MulDrop6.37395
BitDefender -> Trojan.Ransom.Rektware.A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQF, Win32/Filecoder.G
Malwarebytes -> Ransom.Rektware
Sophos AV -> Mal/AutoIt-AK
Symantec -> Downloader, Trojan Horse
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Gen.Ajcb
TrendMicro -> Ransom_KILLRABBIT.THAOOAAH
---
© Генеалогия: Rektware > новые варианты после статьи

Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется случайное расширение, например:  
.CQScSFy
.2PWo3ja

Вместе с переименованием файлы получают номера. 
Rektware PRZT Ransomware

Так выглядят зашифрованные файлы


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл FIXPRZT.PRZ

Rektware Ransomware note

Содержание записки о выкупе:

ContactID: MG9r9awS9V Send E-mail: rektware@inbox.ru
(FreeDecryptAllYourFiles)

Перевод записки на русский язык:
ContactID: MG9r9awS9V отправь на E-mail: rektware@inbox.ru
(Бесплатное дешифрование всех твоих файлов)




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FIXPRZT.PRZ
PRZT1.PRZ
PRZT2.PRZ
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rektware@inbox.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 23 сентября 2018: 
Расширение: .xd
Записка: не найдена
Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .ini, .jpg, .m4a, .mkv, .mp3, .mp4, .odp, .ods, .odt, .one, .ots, .pdf, .png, .pps, .ppt, .pptx, .rtf, .swf, .vssx, .wav, .xls, .xlsx
URL: xxxx://rektware20.temp.swtest.ru
Файл: Ransomware.exe
Результаты анализов: VT + HA + VMR + 🎥



Вариант от 13 декабря 2020: 
Расширение: .HaHaHaHaHaHaHaHa
Файл: Ransomware.exe
Результаты анализов: VT + IA



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Rektware)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 8 сентября 2018 г.

LIGMA

LIGMA Ransomware

(тест-шифровальщик, деструктор)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим СВС), а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: LIGMA. На файле написано: LIGMA.exe. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ForgiveME


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа-начале сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. Появляется после повреждения MBR и перезагрузки. 
LIGMA Ransomware
Текст из кода

На самом деле на экране появляется ярко-зелёный текст на чёрном фоне.
LIGMA Ransomware
Скриншот-реконструкция

Содержание текста:
YOUR PC LIGMA BALLS xD
This PC is dead because you did n't follow the rules.
Your PC will never work again.
NOTE: Even if you fix the MBR your Your PC Is Dead.
Entire Registry is Fucked and your files are infected.

Перевод на русский язык:
ТВОЙ ПК LIGMA BALLS xD
Этот компьютер мертв, т.к. ты не соблюдал правила.
Твой ПК больше никогда не будет работать.
ПРИМЕЧАНИЕ. Даже если ты исправишь MBR, твой ПК мертв.
Весь реестр трахнут и твои файлы заражены.

Другое сообщение:
Your Computer Got FUCKED By LIGMA!



Технические детали

Нет данных о пострадавших, потому, вероятно, не распространяется как обычный ransomware. Исходных код выложен на Github. Предназначен для Windows 7 x86. Требуется наличие в системе .NET Framework 4.7.1 (прилагается разработчиком). Разработчик предупреждает желающих протестировать шифровальщик о последствиях. Дешифровщик не прилагается.  

Если кто-то захочет модифицировать LIGMA для своих целей, то может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Производит следующие действия: 
➤ Модифицирует системную конфигурацию, скрывает пункты меню, элементы Панели управления и т.д.
➤ Проигрывает системные звуки, передвигает курсор как попало
 Отключает UAC, редактор реестра, ключевые системные инструменты.
➤ Дроппирует файл Payloads.dll в C:\WinWOW32\
 Перед BSoD шифрует файлы с AES-256 в режиме СВС.
➤ Создаёт файл work.bat и запускает процесс в скрытом окне.
➤ Принудительно вызывает BSoD. Записывает 512 байт в MBR и портит таблицу разделов. 
➤ Сообщает, что ПК безнадёжно испорчен. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1st, .3dm, .3mf, .600, .602, .7z, .7zip, .a, .aaf, .abw, .accdb, .acl, .aep, .aepx, .aet, .ahk, .ai, .aps, .as, .asc, .asp, .aspx, .assets, .asx, .avi, .bas, .bep, .bmp, .c, .cbf, .cbfx, .cer, .cfa, .class, .config, .contact, .cpp, .cs, .css, .csv, .dat, .db, .dbf,  .deb, .dic, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dvi, .dwg,  .dxf, .ebf, .ebfx, .ebuild, .efx, .eps, .ev3, .ev3, .exp, .fits, .fla, .flv, .fnt, .gif, .go, .gz, .gz, .h, .hmg, .htm, .html, .ico, .idml, .ilk, .inc, .indb, .indd, .indl, .indt, .inx, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .ldr, .lic, .loc, .lock, .log, .lxf, .m3u8, .m4a, .max, .mcfunction,  .mcmeta, .md2, .md3, .md4, .md5, .mdb,  .mkv, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .nc, .ncb, .nut, .obj, .object, .odf, .odp, .odt, .ogg, .otf, .pdb, .pdf, .pek, .pez, .php, .php?, .piv, .pkf, .pl, .plb, .plg, .pm, .pmd, .png, .pot, .potm, .potx, .pov, .ppj, .pps, .ppt, .pptm, .pptx, .prefs, .prel, .prfpset, .prproj, .prsl, .ps, .ps, .ps, .psc, .psd, .psm1, .py, .python, .rar, .raw, .rb, .rbt, .rc, .res, .resource, .resx, .rex, .rtf, .ru, .rxe, .s3, .sdf, .sdl, .ses, .silo, .sln, .sql,  .sti, .svg, .swf, .swift, .tab, .tar.gz, .tdf , .tif, .tiff, .tpk, .txt, .udo, .umod, .vb, .vcf, .vob, .w3d, .war, .webp, .wmv, .wpd, .wps, .wtv, .wve, .x, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmp, .xpl, .xps, .xqx, .xsl-fo, .z, .zip (225 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LIGMA.exe
Payloads.dll
work.bat
mbr.bin
<random>.exe - случайное название

Расположения:
C:\WinWOW32\Payloads.dll
C:\WinWOW32\work.bat
C:\WinWOW32\mbr.bin
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Файлы проектов:
Payloads.pdb
LIGMA.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Таблицу разделов также можно восстановить. 
*
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov,  Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KCTF Locker

KCTF Locker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KCTF Locker. На файле написано: Ransomware.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .DWG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на японских и англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:
KCTF Locker Ransomware

Содержание записки о выкупе:
あなたのデータは暗号化されました。
復元したければ、以下に10BTCキムってください

Перевод записки на русский язык:
Ваши данные были зашифрованы.
Если вы хотите вернуть, заплатите 10 BTC ниже



Содержание текста:
This is program is written as a part of CTF task. But it can be harmful for your computer. Choose Cancel to exit. If you are OK, press OK.
このプログラムはCTFの一部ですが、お使いの PC に害を与える可能性があります。実行を続行しますか

Перевод записки на русский язык:
Это программа написана как часть задачи CTF. Но это может быть вредно для вашего компьютера. Нажмите "Отмена" для выхода. Если всё ОК, нажмите OK.
Эта программа часть CTF, но она может нанести вред вашему ПК. Вы хотите продолжить работу?

На файле написано:
This file is a part of a CTF (security competition), this is not a real malware.

Перевод на русский язык:
Этот файл часть CTF (конкурс безопасности), это не реальный вредонос.

*| CTF (Capture the flag) — это командная игра, главной целью которой является захват "флага" соперника.



Технические детали

Распространяется в определенной среде пользователей, как утверждается для участия в конкурсе. Короче: очередная "обезьяна с гранатой".   🙊💣

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 7 сентября 2018 г.

Suri

Suri Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Suri. На файле написано: Suri.exe

© Генеалогия: Stupid (FTSCoder) >> Suri

К зашифрованным файлам добавляется расширение: .SLAV


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на итальянских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, диалоговое окно и изображение, заменяющее обои.

Содержание записки о выкупе:
O no, tutti i tuoi file personali sono stati cryptati :(
Come faccio a decryptarli?
---
Ciao utente,
tutti i tuoi file personali sono stati cryptati.Non si toma piu indietro ormai.
Riawiando o altro non risolvi nulla. Ora forse ti chiederai come fare.
Semplice! Invia una somma di 100 Euro in bitcoin all'indirizzo sottostante.
Tgliendomi condannerai tutti i tuoi file.
Perche ? Solo io sono in grado di decryptare tutti tuoi file e solo io ho la
chiave pubblica.
Dopo aver pagati che succede ?
Tutti i tuoi file personali verrano decryptati e io mi auto elimino.
---
Non ho 100 Euro e rivoglio i miei file
Indirizzo BitCoin
File cryptati con successo! 
---
Hai 360 minuti
360 minuti rimanenti
360 = 60 H
[Quali file sono stati cryptati ?]
[Ho pagato !Rivoglio i miei file!]
 Bitcoin?

Перевод записки на русский язык:
О нет, все твои личные файлы были зашифрованы :(
Как я могу их расшифровать?
---
Привет, пользователь,
все твои личные файлы зашифрованы. Теперь ты не можешь их вернуть.
Перезапуск или больше ты ничего не решишь. Может теперь тебе будет интересно, как это сделать.
Просто! Отправь сумму 100 евро в биткоинах по указанному ниже адресу.
Потом ты сможешь вернуть все свои файлы.
Почему? Только я могу расшифровать все твои файлы, и только у меня есть открытый ключ.
Что быдет после оплаты?
Все твои личные файлы будут расшифрованы, а программа автоудалится.
---
У меня нет 100 евро, но я хочу вернуть свои файлы
Адрес BitCoin
Файл успешно зашифрован!
---
У вас есть 360 минут
Осталось: 360 минут
360 = 60 H
[Какие файлы были зашифрованы?]
[Я заплатил, я хочу вернуть свои файлы!]
  Bitcoin?



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *