Если вы не видите здесь изображений, то используйте VPN.

вторник, 15 января 2019 г.

TrumpHead

TrumpHead Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC, чтобы вернуть файлы. Оригинальное название: TrumpHead. На файле написано: TrumpHead.exe. Написан на разработанном компанией Google языке программирования Go.

© Генеалогия: другие "Go" Ransomware >> TrumpHead

К незашифрованным файлам никакое расширение не добавляется.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Штамп времени: 7 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Уплата выкупа бесполезна! Файлы не зашифрованы. 

Записка с требованием выкупа называется: READ_THIS.txt
Содержание записки о выкупе:
Hey there,
We're sorry to tell you that we've encrypted ALL your data and there is no other way to get it back without paying us:
0.8 in BITCOINS to this address: 1E3zLEiB9iy7SY75jpx636HLVWiV3G6TPx
Pay up before it's too late!
You've got 48 hours to pay. If you have any questions, just contact us on this email address: wegotyoudata@protonmail.com
To speed up the process: just send us the following computer id: XXXXXXXXXXXXXXXXXXXXXXXXXXXXX send us your btc 
payment, transaction ID and we will send you all instruction how to get your data back.
We are serious people and will always deliver after payment. Be sure NOT to rename
or delete your files, shutdown your computer or contact the law, otherwise it's gone forever!
We're the best. No one has ever seen such a hacker group as we are.

Перевод записки на русский язык:
Привет всем,
Мы приносим извинения за то, что зашифровали ВСЕ ваши данные, и нет другого способа вернуть их, не заплатив нам:
0.8 в биткоинах по этому адресу: 1E3zLEiB9iy7SY75jpx636HLVWiV3G6TPx
Оплатите пока не поздно!
У вас есть 48 часов, чтобы заплатить. Если у вас есть какие-то вопросы, просто свяжитесь с нами по этому адресу email: wegotyoudata@protonmail.com
Чтобы ускорить процесс: просто отправьте нам следующий ID компьютера: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX отправьте нам свой btc платеж, ID транзакции, и мы вышлем вам все инструкции, как вернуть ваши данные.
Мы серьезные люди и всегда доставим после оплаты. Не переименовывайте
или не удаляйте свои файлы, не выключите компьютер или не связывайтесь с законом, иначе это навсегда!
Мы лучшие. Никто никогда не видел такой хакерской группы, как мы.

Другим информатором жертвы выступает изображение, встающее обоями Рабочего стола.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_THIS.txt
TrumpHead.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wegotyoudata@protonmail.com
BTC: 1E3zLEiB9iy7SY75jpx6JGHLVWiV3G6TPx
URL: xxxxs://6bbsjnrzv2uvp7bp.onion
URL: xxxx://icanhazip.com - определение IP-адреса
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 14 января 2019 г.

hAnt

hAnt Ransomware

AntMinerDestroy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель был внедрен в прошивку устройств для майнинга криптовалюты. После активации угрожает перегревом и разрушением майнинг-оборудования, если жертвы не заразят 1000 других устройств или не заплатят выкуп в 10 биткоинов. Оригинальное название: hAnt. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Представляет собой внедренный в прошивку модуль, ранняя активность которого пришлась на лето 2018 г. На момент написания этой статьи поднялась новая волна массовых заражений и большинство случаев заражения было зарегистрировано в Китае, где расположено большинство крипто-валютных ферм в мире. 
Изображение разработано на этом сайте, как иллюстрация к статье

Ориентирован на устройства, предназначенные для майнинга биткоинов Antminer S9 и T9, но атаке подвержены также устройства Antminer L3, используемые для майнинга Litecoin. Сообщается, что за час вредонос может заработать 2400 юаней для хакеров, а за один день уже 57 600 юаней.

Другие устройства также могут быть подвержены атаке, но в гораздо меньшей степени. Хотя, возможно, в будущем они себя еще проявят. 

Таким образом, домашние и рабочие компьютеры могут быть заражены вирусом-вымогателем.

Запиской с требованием выкупа выступает экран блокировки с текстом на английском и китайском языках. Ему предшествует экран с чёрным муравьем и двумя шахтерскими кирками. 
Второй экран отображается, если кликнуть по первому. 


Содержание текста о выкупе:
I am hAnt! 
I continue to attack your Antminer. As long as you spread the infected machine, my server verifies that there are 10 new IPs and the number of antminers reaches 1000. I will stop attacking you! Otherwise I will turn off your antminer's fan and overheat protection, which will cause you to burn your machine or will burn the house.
Click the "Diwnload firmware patch" button to download the firmware patch with your specific ID. Just update it to your normal Antminer to get infected.
You can bring the machine that updated the patch to another computer room to complete the infection, or induce others to use the firmware patch in the network group.
Or support 10 BTCs, I will stop attacking.
***
How to use the firmware patch Refer to the antminer web page to update the firmware.
************************** patch the file name is "hAnt.tar.gz" to modify the "hAnt" four characters.

Перевод текста на русский язык:
Я hAnt!
Я продолжаю атаковать ваш антмайнер. Пока вы распространяете зараженную машину, мой сервер проверяет, что существует 10 новых IP-адресов, а количество антмайнеров достигает 1000. Я перестану на вас нападать! Иначе я отключу вентилятор вашего антмайнера и защиту от перегрева, что приведет к тому, что вы сожжете свою машину или сожжете дом.
Нажмите кнопку "Diwnload firmware patch", чтобы загрузить патч прошивки с указанным вами идентификатором. Просто обновите его до обычного Antminer, чтобы заразиться.
Вы можете перенести машине, обновленую патчем, в другое компьютерное пространоство, чтобы завершить заражение, или заставить других использовать патч прошивки в сетевой группе.

Или поддержите 10 BTC, я перестану атаковать.
Как использовать патч прошивки Обратитесь к веб-странице antminer для обновления прошивки.
************************** имя файла патча "hAnt.tar.gz", чтобы изменить "hAnt" четыре символа.


То, что отображается поверх текст, является логотипом сайта yibenchain.com, опубликовавшего новость 13 января 2019 г. 




Технические детали

Распространяется из анонимных источников как прошивка для SD-карт, якобы позволяющая более быстро майнить криптовалюту. Может также распространяться обманных загрузок, ботнетов, эксплойтов, веб-инжектов, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Для удаления вредоноса надо отформатировать SD-карту с прошивкой, загрузить новую официальную прошивку, перенести её на SD-карту и установить новую прошивку на свой AntMiner. 

Процедура установки новой прошивки на оборудования для майнинга занимает довольно много времени (несколько дней), но это единственный выход для зараженных антмайнеров.  


Файлы, связанные с этим Ransomware:
hAnt.tar.gz

Расположения:
SD-карта

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: нет данных. 
BTC: нет данных. 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Write-up, Write-up, myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 yibenchain.com, zdnet.com
 Andrew Ivanov
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Zzz

Scarab-Zzz Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> другие Scarab-варианты > Scarab-ZZZ
Это изображение — логотип статьи. Изображает скарабея с Zzz.
This image is the logo of the article. It depicts a scarab with Zzz.

К зашифрованным файлам добавляется расширение: .zzzzzzzz
Сами файлы переименовываются с помощью Base64. 

Пример зашифрованного файла: 
7dmdXPFuP4Ld0NHo1XDt5mzldFSRli5Pv5I6j+Uj3xCAoeYDgv=I5ybqWfun+OeU05BYOEi3wDOi6OlXD9k5X6pAP1Ta6w530hKZUVv4.zzzzzzzz

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
---= ^_^ Your files are now encrypted!! ^_^ =--- 
Attention!   
All your files, documents, photos, databases and other important files are encrypted 
The only method of recovering files is to purchase an unique private decryptor. Only we can give you this decryptor and only we can recover your files.
IN ORDER TO PREVENT DATA DAMAGE:
 * DO NOT MODIFY ENCRYPTED FILES
 * DO NOT CHANGE DATA BELOW
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.
Now you should send us email with your key identifier and version.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins or Dash. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
If the payment isn't made with in 5 days the cost of decrypting files will be doubled 
We can give you free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 100kb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
You can contact us in these email address: ----- rohitramses@protonmail.com ---or--- rohitramses@tutanota.com ------
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
 * https://buy.bitcoin.com/
 * https://coinmonitor.io/en/
 * https://coinmama.com/
 * https://changelly.com/
 * https://payeer.com/
 * https://cex.io/
Version: 1.1
Your Key Indentifier:
+4IAAAAAAACqJ***29gER3Q

Перевод записки на русский язык:
--- = ^ _ ^ Ваши файлы теперь зашифрованы !! ^ _ ^ = ---
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы
Единственный способ восстановления файлов - это покупка уникального частного дешифровщика. Только мы можем дать вам этот дешифровщик, и только мы можем восстановить ваши файлы.
Для того, чтобы предотвратить повреждение данных:
 * НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
 * НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены
   (они добавляют свой гонорар к нашему), или вы можете стать жертвой мошенничества.
Теперь вы должны отправить нам email с вашим ключом идентификатором и версией.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ дешифровки.
Вы должны заплатить за дешифрование в Биткоинах или Dash. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Если оплата не будет произведена в течение 5 дней, стоимость дешифровки файлов будет удвоена
Мы можем дать вам бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной дешифровки.
Общий размер файлов должен быть менее 100 КБ (не в архиве), и файлы не должны содержать ценную информацию (базы данных, резервные копии, большие таблицы Excel и т. д.).
Вы можете связаться с нами по этому адресу email: ----- rohitramses@protonmail.com --- или --- rohitramses@tutanota.com ------
Если вы не получили ответа или письмо не работает, свяжитесь с нами, используя Bitmessage.
Загрузите отсюда: https://bitmessage.org/wiki/Main_Page
Запустите его, нажмите New Identity и отправьте нам сообщение по адресу BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
У меня нет биткоинов (BTC) или DASH (DSH). Как я могу сделать платеж?
 * Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажмите 'Buy bitcoins' и выберите продавца по способу оплаты и цене:
   https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
 * https://buy.bitcoin.com/
 * https://coinmonitor.io/en/
 * https://coinmama.com/
 * https://changelly.com/
 * https://payeer.com/
 * https://cex.io/
Версия: 1.1
Ваш ключ идентификатор:
+ 4IAAAAAAACqJ *** 29gER3Q



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rohitramses@protonmail.com
rohitramses@tutanota.com
BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support, General Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, quietman7, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 12 января 2019 г.

Juwon

Juwon Ransomware

(фейк-шифровальщик)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 10 BTC, чтобы вернуть файлы. Оригинальное название: juwonRansomeware и jw ransomware. На файле написано: juwonRansomeware.exe. Разработка: Seojuwon.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К незашифрованным файлам никакое расширение не добавляется.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Разработчик, вероятно, из Кореи. 

Запиской с требованием выкупа выступает экран блокировки с заголовком juwon Ransomeware 

Содержание записки о выкупе:
Explanation
Sorry. The computer is encrypted by a military level algorithm by jw ransomware and can not be accessed. To recover, you must enter your password or purchase a decryptor. The moment you close this program, your computer will be a fool. Seojuwon is a computer genius. Failure to enter the password within 24 hours will destroy the computer. Typing juwon will display a password hint. And when you give up, your computer is instantly destroyed.
Bit coin address : 12t9YDPgwueZ9NyMgw519p7AA8lsjr65Mw
---
Payment Method : Purchase Bitcoin 10 and send it to this address, or buy the voucher and send the code to seojuwon0622@gmail.com.

Перевод записки на русский язык:
Объяснение
Сожалею. Компьютер зашифрован алгоритмом военного уровня jw ransomware и не может быть доступен. Для восстановления надо ввести свой пароль или купить расшифровщик. В тот момент, когда вы закроете эту программу, ваш компьютер сойдет с ума. Seojuwon - компьютерный гений. Невозможность ввести пароль в течение 24 часов уничтожит компьютер. Ввод juwon покажет подсказку пароля. И когда ты сдаешься. твой компьютер сразу уничтожится.
Биткоин адрес: 12t9YDPgwueZ9NyMgw519p7AA8lsjr65Mw
---
Способ оплаты: купите биткоин 10 и отправьте его по этому адресу или купите ваучер и отправьте код по адресу seojuwon0622@gmail.com.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
В этой версии ничего не шифруется, но после реализации шифровальной функции это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
juwonRansomeware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: seojuwon0622@gmail.com
BTC: 12t9YDPgwueZ9NyMgw519p7AA8lsjr65Mw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *