Outsider Ransomware
Outsider Hand-Ransomware
Outsider "NextGen" Ransomware
1st stage variants: Secure-Server, Protected, Crypt, Popotic1, Popoticus
2nd stage variants: Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Assist
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные серверов и пользователей с помощью AES, а затем требует выкуп в $900 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> DrWebTrojan.Encoder.26800, Trojan.Encoder.27263, Trojan.Encoder.30405, Trojan.Encoder.30888
ALYac -> Trojan.Ransom.GarrantyDecrypt, Trojan.Ransom.Filecoder, Trojan.Ransom.Mapo, Gen:Variant.Fugrafa.14822
BitDefender -> DeepScan:Generic.Ransom.GarrantDecrypt.B.*, Trojan.GenericKD.42138566, Gen:Variant.Fugrafa.14822
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.D, A Variant Of Win32/Filecoder.Outsider.H
Malwarebytes -> Ransom.XARCryptor, Ransom.Outsider
TrendMicro -> Ransom.Win32.OUTSIDER.THBBOAIN, Ransom_Mapo.R023C0DLN19
Kaspersky -> Exploit.Win32.UAC.jv, Trojan-Ransom.Win32.Cryptor.ceu
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
---
© Генеалогия: GarrantyDecrypt ⇒ Outsider (Secure-Server, Protected, Crypt, Popotic1, Popoticus) ⇒ Mapo (Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Pump, Assist)
BitDefender -> DeepScan:Generic.Ransom.GarrantDecrypt.B.*, Trojan.GenericKD.42138566, Gen:Variant.Fugrafa.14822
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.D, A Variant Of Win32/Filecoder.Outsider.H
Malwarebytes -> Ransom.XARCryptor, Ransom.Outsider
TrendMicro -> Ransom.Win32.OUTSIDER.THBBOAIN, Ransom_Mapo.R023C0DLN19
Kaspersky -> Exploit.Win32.UAC.jv, Trojan-Ransom.Win32.Cryptor.ceu
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
---
© Генеалогия: GarrantyDecrypt ⇒ Outsider (Secure-Server, Protected, Crypt, Popotic1, Popoticus) ⇒ Mapo (Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Pump, Assist)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .protected
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Некоторые варианты по ряду признаков я выделил в данную отдельную статью Outsider (GarrantyDecrypt-Outsider). Но все они теперь идентифицируются в IDR под GarrantyDecrypt. Сначала было две идентификации: GarrantyDecrypt и Outsider, а потом они были объединены. Но всё-таки между ними есть визуальные различия, поэтому мы будем поддерживать две статьи.
Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Штамп времени: 26 ноября 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.txt
Содержание записки о выкупе:
! SYSTEM SECURITY ALERT !
—————————————————————————–
Your SERVER was tried to be attacked by an outsider.
Immediatly change your password, use a minimum of 8 characters in length.
—————————————————————————–
All your personal files was encrypted with RSA public key (1024 bit) to SAVE them from a third party persons.
Now they are ENCRYPTED and SAFE!
To RESTORE all your files back immediatly, follow this few simple steps:
1) Our SECURE-SERVER service charge a payment for file decryption and preventing damage of your SERVER by 3th party persons;
2) After your SUCCESSFUL payment, write us an E-MAIL with your unique SERVER-ID and Payment ID;
3) Receive an DECRYPTION TOOL from us back to your E-MAIL;
4) Run the tool on your SERVER and safe-decrypt all your files back to NORMAL state.
We STRONGLY RECOMMEND you NOT to use any other decryption tool, files will be LOST! Only our DECRYPTION TOOL can turn back your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
As a proof, you can send us 1 file and we will DECRYPT it for free and send it back to you.
——————————————————————————
Our E-MAIL: secureserver@memeware.net
Payment type: Bitcoin
Summ: $900
Our wallet: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Your SERVER-ID: *****
——————————————————————————
For any questions, write us: secureserver@memeware.net
MEMEWARE SECURE-SERVER SYSTEMS © 2018
Перевод записки на русский язык:
! ТРЕВОГА СИСТЕМЫ БЕЗОПАСНОСТИ!
--------------------------
Ваш СЕРВЕР был атакован посторонним.
Немедленно измените свой пароль, используйте не менее 8 символов.
--------------------------
Все ваши личные файлы зашифрованы открытым ключом RSA (1024 бит), чтобы СОХРАНИТЬ их от посторонних лиц.
Теперь они зашифрованы и безопасны!
Чтобы немедленно восстановить все ваши файлы, выполните следующие несколько простых шагов:
1) Наша служба SECURE-SERVER взимает плату за расшифровку файлов и предотвращение повреждения вашего СЕРВЕРА посторонними лицами;
2) После УСПЕШНОГО платежа напишите нам E-MAIL с вашим уникальным SERVER-ID и идентификатором платежа;
3) Получите от нас ИНСТРУМЕНТ РАСШИФРОВКИ на свой email;
4) Запустите инструмент на вашем СЕРВЕРЕ и безопасно расшифруйте все ваши файлы обратно в НОРМАЛЬНОЕ состояние.
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ вам НЕ использовать какой-либо другой инструмент для расшифровки, файлы будут потеряны! Только наш инструмент расшифровки может вернуть ваши файлы.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
В качестве доказательства вы можете отправить нам 1 файл, и мы БЕСПЛАТНО расшифруем его и отправим вам обратно.
--------------------------
Наш email: secureserver@memeware.net
Тип оплаты: Биткоин
Сумма: $900
Наш кошелек: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Ваш SERVER-ID: *****
--------------------------
По любым вопросам пишите нам: secureserver@memeware.net
MEMEWARE SECURE-SERVER SYSTEMS © 2018
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: secureserver@memeware.net
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Outsider (Secure-Server, Protected, Crypt, Popotic1, Popoticus) - начиная с ноября-декабря 2018.
Mapo (Sguard, Guarded, Mapo, Sivo, Dante, Mbit, Gomer, Edab, Pump, Assist) - начиная с августа 2019.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 февраля 2019:
Пост в Твиттере >>
Расширение: .protected
Email: secureserver-eu@protonmail.com
BTC: 18LCfKRDDVmQeWK5Pvqy3HgrEQqBrDtGvG
Записка: SECURITY-ISSUE-INFO.txt
Записка оформлена как бы от службы безопасности почтового сервиса Proton, но, разумеется, это умышленная подделка.
Результаты анализов: VT + VMR
! SYSTEM SECURITY ALERT !
-----------------------------------------------------------------------------
Your SERVER was tried to be attacked by an outsider.
Immediatly change your password, use a minimum of 8 characters in length.
-----------------------------------------------------------------------------
All your personal files was encrypted with RSA public key (1024 bit) to SAVE them from a third party persons.
Now they are ENCRYPTED and SAFE!
To RESTORE all your files back immediatly, follow this few simple steps:
1) Our SECURE-SERVER service charge a payment for file decryption and preventing damage of your SERVER by 3th party persons;
2) After your SUCCESSFUL payment, write us an E-MAIL with your unique SERVER-ID and Payment ID;
3) Receive an DECRYPTION TOOL from us back to your E-MAIL;
4) Run the tool on your SERVER and safe-decrypt all your files back to NORMAL state.
We STRONGLY RECOMMEND you NOT to use any other decryption tool, files will be LOST! Only our DECRYPTION TOOL can turn back your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
As a proof, you can send us 1 file and we will DECRYPT it for free and send it back to you.
------------------------------------------------------------------------------
Our E-MAIL: secureserver-eu@protonmail.com
Payment type: Bitcoin
Summ: $780
Our wallet: 18LCfKRDDVmQeWK5Pvqy3HgrEQqBrDtGvG
Your SERVER-ID:
[redacted 0x200 bytes in base64]
------------------------------------------------------------------------------
For any questions, write us: secureserver-eu@protonmail.com
PROTON SECURE-SERVER SYSTEMS (c) 2019
---
Позже, 2 марта 2019, этот вариант был описан в статье Лоуренса Адамса (Bleeping Computer).
Вариант от 31 мая 2019:
URL пострадавшего сайта: xxxx://31.14.138.107/
Вымогатели теперь называют себя: Proton SecureSystems (c) 2019.
Расширение: .crypt
Записка: HOW-TO-RESTORE-FILES.txt
Email: ss-eu@pm.me
BTC: 14GrcyK1T8XkHj4Zahcwgv1dkDrniBj2pp
Сумма выкупа: 2000 EUR
Сравнение содержания со следующим вариантом.
Вариант от 26 июня 2019:
Пост в Твиттере >>
URL пострадавшего сайта тот же: xxxx://31.14.138.107/
Вымогатели теперь скрыли свое фейк-название: Proton SecureSystems (c) 2019.
Расширение: .popotic1
Записка: HOW-TO-RESTORE-FILES.txt и HOW-TO-RESTORE-FILES.1.txt, если в директории обнаружен файл с таким же названием.
Email: ss-eu@pm.me
BTC: 13hpJ5hkqKqB8KYG1YXfXXyasM9UZe3bju
Сумма выкупа: 900 EUR
Вариант от 28 июня 2019:
Пост в Твиттере >>
Расширение: .popoticus
Записка: HOW-TO-RESTORE-FILES.txt
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Переход на другую разработку
Вероятно, в этот промежуток времени вымогатели перешли на другую разработку. В начале статьи это указано с помощью "⇒" значка.
Слева подробности варианта с расширением .mapo
Справа подробности варианта с расширением .sivo
К сожалению, образцы есть только на некоторые варианты.
Вариант от 22 августа 2019:
Топик на форуме >>
Расширение: .sguard
Записка: SGUARD-README.TXT
Email: support-ssp@pm.me
BTC: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA private key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. SecureServer service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY OUR DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-ssp@pm.me
Payment type: Bitcoin
Our wallet: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
Sum: 600 EUR
Your server ID-KEY:
CeIOT9CWAaieFA41H78EuIHHxAvviX5suVXXOpdEH03lqUzLRmEniU+fP/WtyJVm
lRd1lLKb8DGtoKNHIqcoeF5qE7Fk65Zw0saUR+sHuvdeY0AHmD4KCPP7cKCBjtRM
Y+tO5KPOwTo82iocw3mPFTtHh7Q3VFNecdlPBdsiwL0=
-------------------------------------------------------------------------------------------
For any questions: support-ssp@pm.me
SecureServer Systems (c) 2019 / ProtonProject EU
===Key verify text===
gC56f06b/MKYH40EzTvlyQ==
Вариант от 8 октября 2019:
Файлы можно расшифровать >>
Пост на форуме >>
Пост на форуме >>
Расширение: .mapo
Записка: MAPO-README.txt
Email: support-mapo@pm.me
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Due vulnerability in your system all of the files have been protected with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all of your files back, please follow this few steps:
1. MAPO service charges a payment for file decryption;
2. After payment being processed, contact us and provide your PC id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY MAPO DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Our email: support-mapo@pm.me
Payment type: Bitcoin
Your PC ID-KEY:
[redacted 0x80 bytes base64]
--------------------------------------------------------------------------------------------
support-mapo@pm.me / MAPO (c) 2019
===Key verify text===
[redacted 0x10 bytes base64]
Вариант от 28 октября 2019:
Файлы можно расшифровать >>
Топик на форуме >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Due vulnerability in local system all of the files has been protected with MAPO RSA.Private.Key to safe them from unathorized 3rd party access.
To RESTORE all of your files, please follow this simple steps:
1. MAPO service charges a payment for file decryption;
2. Contact us with attached (MAPO-Readme.txt) file to the message;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all files.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! DO NOT DELETE THIS FILE !
! DO NOT MODIFY, FILE CONTAINS SENSITIVE DATA !
-------------------------------------------------------------------------------------------
E-mail: support.mbox@pm.me
Payment type: Bitcoin (BTC)
Our wallet: 1F5ogQU16km1zcuQDunWf3EAPYReJaEGSZ
ID-KEY:
pvN7Go0adojcsgfUOV8k***
-------------------------------------------------------------------------------------------
support.mbox@pm.me / MAPO (c) 2019
= Key verify =
vHa5n4KiX0iWXuNlm*****==
Вариант от 20 декабря 2019:
Файлы можно расшифровать >>
Пост в Твиттере >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
Результаты анализов: VT + AR
Вариант от 15 января 2020:
Пост в Твиттере >>
Расширение: .sivo
Записка: Sivo-README.txt
Email: sivo.support@pm.me
Файл: Sivo.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30405
BitDefender -> Gen:Variant.Fugrafa.14822, Gen:Variant.Johnnie.211638
Вариант от 22 августа 2019:
Топик на форуме >>
Расширение: .sguard
Записка: SGUARD-README.TXT
Email: support-ssp@pm.me
BTC: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA private key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. SecureServer service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY OUR DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-ssp@pm.me
Payment type: Bitcoin
Our wallet: 15Z7vDXHCtWdfVKZkD3sJWJEK6jeBznzT9
Sum: 600 EUR
Your server ID-KEY:
CeIOT9CWAaieFA41H78EuIHHxAvviX5suVXXOpdEH03lqUzLRmEniU+fP/WtyJVm
lRd1lLKb8DGtoKNHIqcoeF5qE7Fk65Zw0saUR+sHuvdeY0AHmD4KCPP7cKCBjtRM
Y+tO5KPOwTo82iocw3mPFTtHh7Q3VFNecdlPBdsiwL0=
-------------------------------------------------------------------------------------------
For any questions: support-ssp@pm.me
SecureServer Systems (c) 2019 / ProtonProject EU
===Key verify text===
gC56f06b/MKYH40EzTvlyQ==
Вариант от 11 сентября 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .guarded
Email: support-eus@pm.me
BTC: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Записка: GUARDED-README.txt
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. PP-EUS service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY OUR DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-eus@pm.me
Payment type: Bitcoin
Our wallet: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Your server ID-KEY:
***
For any questions: support-eus@pm.me
ProtonProject EUS © 2019
Топик на форуме >>
Пост в Твиттере >>
Расширение: .guarded
Email: support-eus@pm.me
BTC: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Записка: GUARDED-README.txt
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Your server have been attacked by an Unathorized user.
All your files have been encrypted with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all your files back, please follow this few steps:
1. PP-EUS service charges a payment for file decryption;
2. After payment being processed, provide us your server id-key
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY OUR DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: support-eus@pm.me
Payment type: Bitcoin
Our wallet: 19k8MNYRjVvkcozePZLnBhftrvGPfeugmN
Your server ID-KEY:
***
For any questions: support-eus@pm.me
ProtonProject EUS © 2019
Вариант от 8 октября 2019:
Файлы можно расшифровать >>
Пост на форуме >>
Пост на форуме >>
Расширение: .mapo
Записка: MAPO-README.txt
Email: support-mapo@pm.me
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Due vulnerability in your system all of the files have been protected with RSA Private Key to safe them from unathorized 3rd party access.
To RESTORE all of your files back, please follow this few steps:
1. MAPO service charges a payment for file decryption;
2. After payment being processed, contact us and provide your PC id-key;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all your files back to normal state.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Safe and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! ONLY MAPO DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Our email: support-mapo@pm.me
Payment type: Bitcoin
Your PC ID-KEY:
[redacted 0x80 bytes base64]
--------------------------------------------------------------------------------------------
support-mapo@pm.me / MAPO (c) 2019
===Key verify text===
[redacted 0x10 bytes base64]
Вариант от 28 октября 2019:
Файлы можно расшифровать >>
Топик на форуме >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
➤ Содержание записки:
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
-------------------------------------------------------------------------------------------
Due vulnerability in local system all of the files has been protected with MAPO RSA.Private.Key to safe them from unathorized 3rd party access.
To RESTORE all of your files, please follow this simple steps:
1. MAPO service charges a payment for file decryption;
2. Contact us with attached (MAPO-Readme.txt) file to the message;
3. Receive your unique decryption tool;
4. Run the decryption tool and successfully restore all files.
We guarantee:
100% Successful restoring of all files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted decryption service, you can send us 1 file and get it decrypted for free.
-------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE NON-ORIGIN DECRYPTION TOOLS OR MODIFYING ENCRYPTED FILES - DATA WILL BE LOST !
! DO NOT DELETE THIS FILE !
! DO NOT MODIFY, FILE CONTAINS SENSITIVE DATA !
-------------------------------------------------------------------------------------------
E-mail: support.mbox@pm.me
Payment type: Bitcoin (BTC)
Our wallet: 1F5ogQU16km1zcuQDunWf3EAPYReJaEGSZ
ID-KEY:
pvN7Go0adojcsgfUOV8k***
-------------------------------------------------------------------------------------------
support.mbox@pm.me / MAPO (c) 2019
= Key verify =
vHa5n4KiX0iWXuNlm*****==
Файлы можно расшифровать >>
Пост в Твиттере >>
Расширение: .mapo
Записка: MAPO-Readme.txt
Email: support.mbox@pm.me
Результаты анализов: VT + AR
Вариант от 15 января 2020:
Пост в Твиттере >>
Расширение: .sivo
Записка: Sivo-README.txt
Email: sivo.support@pm.me
Файл: Sivo.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30405
BitDefender -> Gen:Variant.Fugrafa.14822, Gen:Variant.Johnnie.211638
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.H
Malwarebytes -> Ransom.Outsider
TrendMicro -> TROJ_GEN.R011C0PAH20
Вариант от 28 января 2020:
Топик на форуме >>
Расширение: .dante
Записка: DANTE-INFO.txt
➤ Содержание записки:
! ATTENTION !
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST
-------------------------------------------------------------------------------------------
DUBOIS-dws@pm.me
ID KEY:
[redacted 128 bytes base64]
~ L2 Protection ~
[redacted 16 bytes base64]
Вариант от 11 апреля 2020:
Топик на форуме >>
Расширение: .mbit
Записка: MBIT-INFO.txt
Email: mbit.support@pm.me
➤ Содержание записки:
!! ATTENTION !!
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST!
-------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with RSA private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. MBIT service charges a payment for file decryption tool
2. Contact us with attached Mbit-info.txt
3. Receive MBIT file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
! ATTENTION - ONLY MBIT DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: mbit.support@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
AXdUGAUl9IcwLTN9VJVznfxULvSouscPRkDW5fVRGH***
-------------------------------------------------------------------------------------------
mbit.support@pm.me / MBIT (c) 2020
~ L2 Protection ~
N1gM7joCl+GxM499bEnbmw==
Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .gomer
Записка: GOMER-README.txt
Email: support-gomer@pm.me
D:\output\test\GUARDO\output\encryptFiles.pdb
Результаты анализов: VT + TG
➤ Содержание записки:
! ATTENTION !
--------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST !
--------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with strong private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. Gomer service charges a payment for file decryption tool
2. Contact us with attached Gomer-readme.txt
3. Receive Gomer file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
! ONLY ORIGINAL GOMER DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contacts: support-gomer@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
gMWCXd52gagzYTakkupc2dqCy0xNvLiodz+1yw*** [всего 172 знака]
Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .edab
Записка: EDAB-README.txt
Аналогично варианту с расширением .gomer
Результаты анализов: VT + TG
Обновление декабря 2020:
Скриншоты сравнений раннего варианта Outsider с вариантом Sivo указывают на различие в программном коде. Это подтверждает, что та же группа вымогателей перешла на другую разработку. Сообщение >>
Вариант от 28 января 2020:
Топик на форуме >>
Расширение: .dante
Записка: DANTE-INFO.txt
➤ Содержание записки:
! ATTENTION !
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST
-------------------------------------------------------------------------------------------
DUBOIS-dws@pm.me
ID KEY:
[redacted 128 bytes base64]
~ L2 Protection ~
[redacted 16 bytes base64]
Вариант от 11 апреля 2020:
Топик на форуме >>
Расширение: .mbit
Записка: MBIT-INFO.txt
Email: mbit.support@pm.me
➤ Содержание записки:
!! ATTENTION !!
-------------------------------------------------------------------------------------------
STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST!
-------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with RSA private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. MBIT service charges a payment for file decryption tool
2. Contact us with attached Mbit-info.txt
3. Receive MBIT file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
! ATTENTION - ONLY MBIT DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contact us: mbit.support@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
AXdUGAUl9IcwLTN9VJVznfxULvSouscPRkDW5fVRGH***
-------------------------------------------------------------------------------------------
mbit.support@pm.me / MBIT (c) 2020
~ L2 Protection ~
N1gM7joCl+GxM499bEnbmw==
Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .gomer
Записка: GOMER-README.txt
Email: support-gomer@pm.me
D:\output\test\GUARDO\output\encryptFiles.pdb
Результаты анализов: VT + TG
➤ Содержание записки:
! ATTENTION !
--------------------------------------------------------------------------------------------
! STRICTLY FORBIDDEN TO USE THIRD-PARTY DECRYPTION SOFTWARE - FILES WILL BE LOST !
--------------------------------------------------------------------------------------------
Due vulnerability in your system all files have been protected with strong private key to safe them from unathorized access.
To RESTORE your files, follow this instructions:
1. Gomer service charges a payment for file decryption tool
2. Contact us with attached Gomer-readme.txt
3. Receive Gomer file decryption tool
4. Run the tool and successfully RESTORE all your files!
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Fast and secure service
As a proof of our trusted service, you can send us 1 file and get it decrypted for free!
-------------------------------------------------------------------------------------------
! ONLY ORIGINAL GOMER DECRYPTION TOOL CAN RESTORE YOUR FILES !
-------------------------------------------------------------------------------------------
Contacts: support-gomer@pm.me
Payments accepted: Bitcoin (BTC)
ID KEY:
gMWCXd52gagzYTakkupc2dqCy0xNvLiodz+1yw*** [всего 172 знака]
Вариант от 20 июня 2020:
Пост в Твиттере >>
Расширение: .edab
Записка: EDAB-README.txt
Аналогично варианту с расширением .gomer
Результаты анализов: VT + TG
Обновление декабря 2020:
См. отдельную статью Pump Ransomware >>
Варианты: Pump, Hub
© Amigo-A (Andrew Ivanov): All blog articles.
Варианты: Pump, Hub
Вариант от 24 февраля 2021:
Расширение: .assist
Похож на вариант от 15 января 2020 с расширением .sivo
Записка: ASSIST-README.txt
Email: team-assist002@pm.me
Файл: assist.exe
Самоназвание: ASSIST Service
Штамп даты: 28 октября 2020.
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30888
Avira (no cloud) -> HEUR/AGEN.1116537
BitDefender -> Gen:Variant.Fugrafa.14822
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.H
Fortinet -> W32/Outsider.J!tr.ransom
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Dxxa
TrendMicro -> TROJ_GEN.R002C0PBO21
➤ Содержание записки:
! GREETING !
! YOUR NETWORK HAS BEEN HACKED AND ALL DATA IS ENCRYPTED !
Also a lot of sensitive data has been downloaded from your network strictly forbidden to use third-party decryption software - FILES WILL BE LOST!
To RESTORE your files, follow this instructions:
1. Contact us with attached assist-readme.txt
2. Receive assist file decryption tool
3. Run the tool and successfully restore all your files!
! ONLY ORIGINAL DECRYPTION TOOL CAN RESTORE YOUR FILES !
Contacts: team-assist002@pm.me
Payments accepted: Bitcoin (btc), monero (xmr)
ID KEY: ***
# ASSIST #
***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы с расширением .mapo можно расшифровать! Скачайте дешифровщик по ссылке >> Инструкция прилагается. Сообщение в Твиттере >> Для расшифровки других вариантов пишите в CERT Polska на email: cert@cert.pl Приложите записку с требованием выкупа и несколько зашифрованных файлов. Сообщение в Твиттере >>
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as GarrantyDecrypt, Mapo) Write-up, Topic of Support *
- видеообзор от CyberSecurity GrujaRS
Thanks: GrujaRS, Michael Gillespie Andrew Ivanov (author) MalwareHunterTeam, S!Ri dnwls0719
© Amigo-A (Andrew Ivanov): All blog articles.