Если вы не видите здесь изображений, то используйте VPN.

суббота, 9 марта 2019 г.

Yatron

Yatron Ransomware

Yatron 2.0 Ransomware

(шифровальщик-вымогатель, RaaS)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Yatron. На файле написано: Yatron.exe. Пытается удалить зашифрованные файлы, если платеж не был произведен в течение 72 часов.

Обнаружения: 
DrWeb -> Trojan.Siggen7.30138
BitDefender -> Trojan.Ransom.Yatron.A
ALYac -> Trojan.Ransom.Yatron
ESET-NOD32 -> A Variant Of Generik.JKXMRAK
Kaspersky -> Trojan-Ransom.MSIL.Yatron.a
Malwarebytes -> Ransom.Yatron
Microsoft -> Ransom:Win32/Yatron.SA
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom.Win32.YATRON.THCABAI

© Генеалогия: HiddenTear >> Yatron


Изображение с сайта Yatron Ransomware

К зашифрованным файлам добавляется расширение: .Yatron


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.



Содержание записки о выкупе:
Your personal files are encrypted By Yatron
Oops ,Your Files Have Been Encrypted
your important files are encrypted !
Your documents, photos, databases and Other personal files are encrypted ?
the files that you looked for not readable ?
We are the only ones who can decrypt your files Through the unique key.
what should I do for decrypting my files?
If you want to recover your files, you must purchase a the unique key
send 0.5 btc to the payment address : ***
Send us your ID after your payment
Email to contact us : yatron_Decryptor@mail.ru
As proof you can email us 2 files to decrypt and we will send you the recover files to prove that we can decrypt your files
---
you have 3 Days to pay or Your files will be deleted

Перевод записки на русский язык:
Ваши личные файлы зашифрованы Yatron
Упс, ваши файлы были зашифрованы
Ваши важные файлы зашифрованы!
Ваши документы, фотографии, базы данных и другие личные файлы зашифрованы?
файлы, которые вы искали, не читаются?
Мы единственные, кто может расшифровать ваши файлы с уникальным ключом.
что я должен сделать для расшифровки моих файлов?
Если вы хотите восстановить ваши файлы, вы должны купить уникальный ключ
отправьте 0,5 BTC на адрес платежа: ***
Отправьте нам свой ID после оплаты
Свяжитесь с нами по email: yatron_Decryptor@mail.ru
Как доказательство вы можете отправить нам 2 файла для расшифровки, и мы вышлем вам восстановленные файлы, чтобы доказать, что мы можем расшифровать ваши файлы
---
у вас 3 дня на оплату или ваши файлы будут удалены


Сайт вымогателей содержит вредоносный скрипт, который атакует браузер при открытии страницы, запускает вредонос Ramnit, который похищает из него всю доступную информацию.




Технические детали

Yatron рекламируется в Твиттере как Ransomware-as-a-Service, но работает немного иначе, чем большинство RaaS. Разработчик Yatron продает один раз доступ к RaaS за 100$ в биткоинах, и в дальнейшем плата больше не взимается. 

Может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ В Yatron планируется использовать эксплойты EternalBlue и DoublePulsar для распространения на другие компьютеры в сети. 


Примечательно, что в данном скриншоте имеется фраза на русском языке. 

Список файловых расширений, подвергающихся шифрованию:
.1st, .3fr, .3g2, .3gp, .7z, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .bsa, .cdr, .class, .cpp, .cr2, .crt, .cs, .csv, .dat, .db, .dbf, .der, .doc, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .exe, .epk, .eps, .ff, .fla, .flv, .forge, .fpk, .gif, .gz, .h, .hkx, .icxs, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kf, .lit, .litemod, .m2, .m3u, .m3u8, .m4u, .max, .md, .mdb, .mdbackup, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .mrwref, .msg, .ncf, .odb, .odt, .orf, .p7b, .pbm, .pdb, .pdd, .pdf, .pfx, .php, .pkpass, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppj, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .psk, .pst, .ptx, .py, .ra, .rar, .raw, .rb, .rgss3a, .rim, .rt, .rtf, .sdf, .ses, .sie, .sldm, .sldx, .slm, .sql, .sum, .svg, .swf, .tar, .tif, .txt, .upk, .vcf, .vob, .w3x, .wav, .webdoc, .wgz, .wma, .wmv, .wotreplay, .wp5, .wpd, .wps, .wri, .xbplate, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .y, .yal, .yml, .zip, и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
stub j2.exe
yatron_ransomware.exe
lan.dll
ELBDNOWD.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://halkontra.000webhostapp.com/*** (VT)
URL: hxxx://halkontra.000webhostapp.com/info/info/dashboard.html



URL: hxxx://wwwreluxpro.000webhostapp.com/wp-content/themes/shapely/languages/msg.jpg
URL: hxxxs://febrifacient-manual.000webhostapp.com/secure%20(2)/secure/auth/index.php
URL: hxxxs://snorting-elementsysyaa.000webhostapp.com/Wells/Verify
URL: hxxxs://betabi-zatina.000webhostapp.com/ssl/ssl/ssl/questions.php***
URL: hxxx://significative-verse.000webhostapp.com/
Tor-URL: hxxx://pkaojezkfexlj25q.onion 
hxxx://lnwmfuwkqgykg4rc.onion 
hxxx://rzq5tihf6yr4ccfq.onion 
Email: yatronraas@mail.ru, yatron_Decryptor@mail.ru
BTC: 36Bz7B1gsc1WdBf7tnRNbKUGiQjQ2qHGoo
BTC не существующий: mv84588ugtu8vug7ynff7hg7wn78r
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT сайта >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 октября 2020: 
Самоназвание: Yatron Decryptor 2.0
Расширение: .Down_With_Usa
Записка: !Please Read Me!.txt
Email: recoverydata28@firemail.de
BTC: 3JFgm9SMRxSP9YWPZiSCsezXvWZS5aTsaR
➤ Содержание записки:
------------- Oops,Your Network have been infected!-------------  
Dear Admin All files on the network have been attacked and encrypted with a strong encryption algorithms. RSA 2048 and AES-256. 
All your files, documents, photos, databases and other important files are encrypted by a strong encryption. 
Don't worry, you can return all your files!
We are the only ones who can decrypt your files Through the unique key.
what should I do for decrypting my files?
If you want to recover your files, you must purchase a the unique key You must pay 300$ bitcoin to wallet : 3JFgm9SMRxSP9YWPZiSCsezXvWZS5aTsaR
for each affected pc or 1000$ to receive all pc affected your network.
DO NOT RESET OR SHUTDOWN - files may be damaged. 
DO NOT RENAME the encrypted files.    
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
As proof you can email us 3 files to decrypt and we will send you the recover files to prove that we can decrypt your files.
Attempts to restore your data with third party software as Rakhni Decryptor etc.
will lead to irreversible destruction of your data.
To get this software you need write on our e-mail: recoverydata28@firemail.de 
Your personal ID: moQUGP85rm5mnlz8v7Z8lpxODkGVBO7 [всего 172 знака]
---
Файл: yatron.exe
Результаты анализов: VT + AR + VMR + IA
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Yatron
BitDefender -> Gen:Trojan.Heur.Ix0@rDx@0wpaf
DrWeb -> Trojan.MulDrop14.9868
ESET-NOD32 -> MSIL/Filecoder.ACS
Kaspersky -> HEUR:Trojan.MSIL.Eb.gen
Malwarebytes -> Ransom.WannaCrypt
Microsoft -> Trojan:Win32/Ymacco.AA9A
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0WJO20
---
Другие названия и расположение файлов: 
%TEMP%\Eternalblue-2.2.0.exe
%TEMP%\Nasa.exe
 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

25 сентября 2019 года. Файлы можно расшифровать. 
Поддержка расшифровки добавлена в RakhniDecryptor
Ссылки для загрузки:
https://support.kaspersky.com/10556
https://support.kaspersky.ru/10556
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Yatron)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 5 марта 2019 г.

Scarab-Kitty

Scarab-Kitty Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, прислать SERV-ID и узнать как заплатить выкуп в криптовалютах Bitcoin или DASH, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> другие Scarab-варианты > Scarab-ZZZ >> Scarab-Kitty
Это изображение — логотип статьи. Изображает скарабея с Китти из поддержки.
This image is the logo of the article. It depicts a scarab with Kitty from support.

К зашифрованным файлам добавляется расширение: .kitty

Этимология названия:
Сами вымогатели не удосуживаются написать новое название своей программы, полагая, что и так все знают. На этот раз они добавили к файлам расширение .kitty и позиционировали себя службой поддержки клиентов - SystemSupport из Memeware.net. Данный логотип статьи вобрал в себя и Kitty (девушку из поддержки, девушку-кошку, девушку-азиатку с кошачьими глазами...). Так что, получите! 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RESTORE-FILES.txt
Содержание записки о выкупе:
! WINDOWS SECURITY ALERT !
-----------------------------------------------------------------------------
Your PC was attacked by an unathorized user.
Immediatly change your password, use a minimum of 8 characters in length.
ENCRYPTED / SECURED
-----------------------------------------------------------------------------
All your personal data is safe protected with secure private RSA key (1024 bit). 
FILE RECOVERING
-----------------------------------------------------------------------------
To RESTORE all files back to normal state, please follow this few simple steps:
1) S.S service charges a payment for file decryption;
2) After payment being processed, contact us with your unique Serv-ID;
3) Download your personal decryption tool;
4) Run the tool and safe-restore all your files back to normal state.
ATTENTION
-----------------------------------------------------------------------------
! WE STRONGLY NOT RECOMMEND YOU TO USE ANY OTHER DECRYPTION TOOLS - FILES WILL BE LOST !
Only our unique private key decryption tool based on your PC-ID can recover all your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
100% Fast and friendly support
As a proof of our trusted service, you can send us 1 file to DECRYPT it for free.
-----------------------------------------------------------------------------
Support e-mail: systemsupport@memeware.net
Payment type: Bitcoin, DASH
Your SERV-ID:
+4IAAAAAAA***McPIMHK=i84x
------------------------------------------------------------------------------
Frequently asked questions: 
-question: I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
-answer: Simple use one of the most popular exchange services:
    BuyBitcoin.com
    CoinMama.com
    Changelly.com
    Payeer.com
-question: Where do I get recipient payment details for (BTC) or (DSH) transfer?
-answer: Contact our support to receive Wallet id for (BTC) or (DSH) payment.
------------------------------------------------------------------------------
MEMEWARE S.S SYSTEMS (c) 2019 / systemsupport@memeware.net


Перевод записки на русский язык:
! WINDOWS SECURITY ALERT !
-----------------------------------------------------------------------------
Ваш компьютер был атакован неавторизованным пользователем.
Немедленно измените свой пароль, используйте не менее 8 символов.
Зашифрованные / Защищенные
-----------------------------------------------------------------------------
Все ваши личные данные надежно защищены секретным закрытым ключом RSA (1024 бит).
ВОССТАНОВЛЕНИЕ ФАЙЛА
-------------------------------------------------- ---------------------------
Чтобы восстановить все файлы до нормального состояния, выполните следующие простые шаги:
1) S.S сервис взимает плату за расшифровку файла;
2) После обработки платежа свяжитесь с нами, указав свой уникальный Serv-ID;
3) Загрузите ваш личный инструмент дешифрования;
4) Запустите инструмент и безопасно восстановите все ваши файлы до нормального состояния.
ВНИМАНИЕ
-----------------------------------------------------------------------------
! МЫ НЕ РЕКОМЕНДУЕМ ВАМ ИСПОЛЬЗОВАТЬ ЛЮБЫЕ ДРУГИЕ ИНСТРУМЕНТЫ РАСШИФРОВКИ - ФАЙЛЫ БУДУТ УТЕРЯНЫ!
Только наш уникальный инструмент для расшифровки закрытых ключей на основе вашего PC-ID может восстановить все ваши файлы.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантия соответствия
100% безопасный и надежный сервис
100% быстрая и дружелюбная поддержка
В качестве доказательства нашего надежного сервиса, вы можете отправить нам 1 файл, чтобы РАСШИФРОВАТЬ его бесплатно.
-----------------------------------------------------------------------------
Email поддержки: systemsupport@memeware.net
Тип оплаты: Биткоин, DASH
Ваш SERV-ID:
+4IAAAAAAA***McPIMHK=i84x
-----------------------------------------------------------------------------
Часто задаваемые вопросы:
- вопрос: у меня нет биткоинов (BTC) или DASH (DSH). Как я могу сделать платеж?
- ответ: Простое использование одного из самых популярных обменных сервисов:
    BuyBitcoin.com
    CoinMama.com
    Changelly.com
    Payeer.com
- вопрос: где я могу получить платежные реквизиты получателя для (BTC) или (DSH) перевода?
- ответ: Обратитесь в нашу службу поддержки, чтобы получить ID кошелька для (BTC) или (DSH) платежа.
------------------------------------------------------------------------------
MEMEWARE S.S SYSTEMS (c) 2019 / systemsupport@memeware.net



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-RESTORE-FILES.txt
srvhost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systemsupport@memeware.net
Bitcoin (BTC) или DASH (DSH)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-SoftM, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Annabelle 2.1

Annabelle 2.1 Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем сообщает, что файлы нельзя вернуть. Оригинальное название: Annabelle и Annabelle 2.1. На файле написано: Annabelle.exe.

© Генеалогия:  Annabelle >> Annabelle 2.1


Использованное изображение

Есть ли шифрование? 
Если при запуске происходит ошибка, то шифрование не происходит. 
Если запуск вредоноса всё же происходит, то к фейк-зашифрованным файлам добавляется расширение: .AnnabelleCreate
При этом сами файлы оказываются перезаписаны строкой со словом HACKED!!!!! 
Кажется и нет никаких контактов для уплаты выкупа. В любом случае, если контакты будут — уплата выкупа бесполезна!


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого вымогателя пришлась на начало марта 2019 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
당신의 컴푸터 파일이 모든 Annabelle 2.1 에 강영되  파일이 모두
파일을 복구를 할려고 해도 데이터가 모두 파고I 가 되어 파일을 목
1.일을 복구할 방법을 없습니다
2. 이 랜 S 웨어는 SHA1 알고리즘 으로 파일을 모두 파고I 함니다.

Перевод записки на русский язык:
Все файлы вашего компьютера теперь файлы Annabelle 2.1.
Если вы попытаетесь восстановить файл, все данные будут удалены
1. Нет возможности восстановить файлы
2. Это сетевое программное обеспечение шифрует все файлы с алгоритмом SHA1.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Если при запуске появляется сообщение об ошибке, то шифрование не происходит.

Будет ли иначе, если не будет ошибки, нам проследить не удалось.

Список файловых расширений, подвергающихся шифрованию:
На самом деле файлы не шифруются, но все найденные файлы оказываются перезаписаны строкой со словом HACKED!!!!! 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Annabelle.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Annabelle 2.1)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie 
 Andrew Ivanov (author) 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *