Zeropadypt Ransomware
Zeropadypt NextGen:
Ouroboros (LimboCrypt, Lazarus, Lazarus+, Kronos, Angus, Unknown, Skynet, Rez, Codelocks, lol, hiddenhelp, James, Odveta, Ouchachia, Rails)
(фейк-шифровальщик, вымогатель-стиратель, деструктор)
(шифровальщик-вымогатель в новых версиях) (первоисточник)
Translation into English
Этот крипто-вымогатель ничего не шифровал в первой версии, но заполняет содержимое файлов нулями, а затем требовал написать на email вымогателя, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
➤ В более новых версиях шифрование AES-256+RSA было реализовано в варианте Ouroboros (см. обновления после статьи). Среда разработки Ouroboros — Microsoft Visual C++.
Обнаружений для Zeropadypt ранних версий нет.
Обнаружения для варианта Ouroboros:
DrWeb -> Trojan.Encoder.28894, Trojan.Encoder.29266, Trojan.Encoder.29641, Trojan.Encoder.29750, Trojan.Encoder.30519, Trojan.Encoder.30564, Trojan.Encoder.30845
BitDefender -> Generic.Ransom.Ouroboros.*, Trojan.GenericKD.41540786, DeepScan:Generic.Ransom.Ouroboros.*, Gen:Heur.Ransom.Imps.3, Generic.Ransom.Ouroboros.*
ALYac -> Trojan.Ransom.Ouroboros, Gen:Heur.Ransom.Imps.3
Malwarebytes -> Ransom.Ouroboros
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
VBA32 -> BScope.Trojan.DelShad
Изображение — логотип статьи
Этимология названия:
Оригинальное название неизвестно. Я дал название от "zero padded" или "zero padding" (дополненный нулями, заполнение нулями) + слово "crypt".
В итоге: zero + pad + (cr)ypt = ZeroPadypt
Шифрования в первом варианте не было, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt Ransomware, Ordinypt Ransomware, названные по той же схеме.
К зашифрованным файлам в первых версиях вместо расширения добавлялось недорасширение: [id=xxxxxxxxxx][Email=asmo49@asmodeus.us]
Это недорасширение состоит из двух частей:
[id=xxxxxxxxxx] - ID пострадавшего, в примере [id=aa47s5dnus]
[Email=asmo49@asmodeus.us] - email вымогателя
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ-Me-Now.txt
Содержание записки о выкупе:
Your All Files Encrypted
For Decrypt Your Data Contact Me: asmo49@asmodeus.us
Your ID for Decryption: r4o7x*****
If You Try Decrypt your file and damage it is Gonna Cost You more Price to Decrypt
you can Send 1MB Data For Decryption Test
Перевод записки на русский язык:
Ваши все файлы зашифрованы
Для расшифровки ваших данных пишите мне: asmo49@asmodeus.us
Ваш ID для расшифровки: r4o7x*****
Если вы попытаетесь расшифровать ваш файл и повредите его, это будет стоить вам дороже, чем расшифровать
вы можете отправить 1 МБ данных для тест-расшифровки
Технические детали
Часто распространяется как активатор к MS Office, ОС Windows и прочие. Это может быть файл Activator_Office.exe или что-то в этом роде.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит. Требуется разрешение на запуск.➤ Подробнее о файлах, заполненных нулями.
Файл изображения не изменил размер до нулевого, а стал больше на 1025 байт. В hex-редакторе выглядит как пустой.
Файл записки не изменил размер до нулевого, но тоже стал больше на 1025 байт. В hex-редакторе выглядит как пустой. На затронутом компьютере файлы можно восстановить из предыдущих версих файлов. Уплата выкупа бесполезна!
Список файловых расширений, подвергающихся поврежеднию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ-Me-Now.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: asmo49@asmodeus.us
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Zeropadypt Ransomware - апрель 2019
Ouroboros Ransomware: Limbo (LimboCrypt) Ransomware - июнь-июль 2019
Ouroboros Ransomware: Lazarus, Lazarus+ - август-сентябрь 2019
Ouroboros Ransomware: KRONOS - сентябрь-октябрь 2019
Ouroboros Ransomware: Angus, Unknown, Skynet, Rez, Codelocks, lol, hiddenhelp, James
Ouroboros Ransomware v6: odveta, rx99 - октябрь-декабрь 2019
Ouroboros Ransomware v7: odveta - январь 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 24 июня 2019:
Топик на форуме >>
Расширение: .limbo
Составное расширение: .[id=lz4ac3t***][Mail=legion.developers72@gmail.com].limbo
Записка: Read-Me-Now.txt
Email: legion.developers72@gmail.com
➤ Содержание записки: Your All Files Encrypted
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test
Your ID For Decryption:lz4ac3t***
Contact Us: legion.developers72@gmail.com
В этом варианте заполнение файла нулями неполное. Шифрование теперь присутствует.
Вероятно, задача заполнения нулями не была выполнена до конца.
Обновление от 17 июля 2019:
Файлы зашифрованы.
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .limbo
Пример зашифрованного файла: Picture.jpg.[id=CRzj7w6liG][mail=BackFileHelp@protonmail.com].limbo
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
Email: BackFileHelp@protonmail.com
Файлы: Ouroboros_en.exe, Ouroboros_en.pdb
Результаты анализов: VT + HA + AR
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:
Contact Us: BackFileHelp@protonmail.com
Обновление от 25 июля 2019:
Топик на форуме >>
Расширение: ???
Записка: Read-Me-Now.txt
Email: dcyptfils@protonmail.ch
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:cad3IrmHfG
Contact Us: dcyptfils@protonmail.ch
Обновление от 5 августа 2019:
Файлы заполнены нулями.
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки.
Email: letitbedecryptedzi@gmail.com
➤ Содержание текста с экрана блокировки:
Your Files Has Been locked
If You Need Your Files
You Should Pay Decryption Fee
You Can Send 1MB File For Being Sure Your Data Can Be Decrypted
If You Try to Decrypt Your Files With 3rd Party Applications
You May Damage Your Files And Decryption Fee will Be Double
Your ID: **********
Contact us for Decryption : letitbedecryptedzi@gmail.com
Обновление от 5 августа 2019:
Файлы зашифрованы. Нулей больше нет.
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=SbPOa46zNc][Mail=RECOVERUNKNOWN@protonmail.com].Lazarus
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
В некоторых случаях записка также может быть зашифрована.
Email: RECOVERUNKNOWN@protonmail.com
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:SbPOa46zNc
Contact Us: RECOVERUNKNOWN@protonmail.com
Обновление от 14 августа 2019:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=m5jfPTUZ0I][Mail=Helpcrypt1@tutanota.com].Lazarus
Записка: Read-Me-Now.txt
Email: Helpcrypt1@tutanota.com
Обновление от 16 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=PdlZmTcS4u][Mail=letitbedecryptedzi@gmail.com].Lazarus
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки.
Email: letitbedecryptedzi@gmail.com
Файлы: letitbedecryptedzi.exe, Ouroboros_en.pdb
Штамп времени: 2 августа 2019.
Результаты анализов: VT + AR
Обновление от 17 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла:
filename.[ID=XXXXXXXXXX][Mail=DecrypterSupport@protonmail.com].Lazarus
Записка:Read-Me-Now.txt
Email: DecrypterSupport@protonmail.com
Результаты анализов: VT + VMR + AR
Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=unlockme123@protonmail.com].Lazarus
Записка: Read-Me-Now.txt
Файл: unlockme123@protonmail.com.exe
Местонахождение:
C:\Users\User\AppData\Local\Temp\unlockme123@protonmail.com.exe
Результаты анализов: VT + AR
Обновление от 19 августа 2019:
Расширение: .Lazarus
Пример составного расширения6 .[ID=6UcENb3ezh][Mail=letitbedecryptedzi@gmail.com].Lazarus
Email: letitbedecryptedzi@gmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:5CMOvsk***
Contact Us: letitbedecryptedzi@gmail.com
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Mr.TeslaBrain@gmail.com].Lazarus
Email: Mr.TeslaBrain@gmail.com
Распространяется как активатор для MS Office.
Результаты анализов: VT + HA
Обновление от 27 августа 2019:
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Dataadecrypt@Cock.li].Lazarus
Email: Dataadecrypt@Cock.li
Обновление от 1 сентября 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=decryp7@foxmail.com].Lazarus
Email: decryp7@foxmail.com
Обновление от 8-10 сентября 2019:
Пост на форуме >>
Расширение: .Lazarus
Шаблон зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Decryptions@protonmail.com].Lazarus
Пример зашифрованного файла: RestSharp.xml.[ID=20JFkhKlzu][Mail=Decryptions@protonmail.com].Lazarus
Email: Decryptions@protonmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:20JFkhK***
Contact Us: Decryptions@protonmail.com
Обновление от 11 сентября 2019:
Пост на форуме >>
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=ScorpionEncryption@protonmail.com].Lazarus
Email: ScorpionEncryption@protonmail.com
Обновление от 13 сентября:
Пост на форуме >>
Расширение: .Lazarus+
Пример зашифрованного файла: .[ID=EO1Qqcm2lM][Mail=FilesHelp@tutanota.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: FilesHelp@tutanota.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID :EO1Qqcm***
Our Email: FilesHelp@tutanota.com
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus+
Пример зашифрованного файла: Image.jpg.[ID=Au2Wegh***][Email=jacdecr@tuta.io].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: jacdecr@tuta.io
Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Image.jpg.[ID=flKR3NGHuw][Mail=Steven77xx@protonmail.com].Lazarus
Email: Steven77xx@protonmail.com
Обновление от 17 сентября:
Пост на форуме >>
Расширение: .Lazarus+
Пример зашифрованного файла: Image.jpg.[ID=u2WegAh***][Email=Rezcrypt@cock.li].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Rezcrypt@cock.li
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID :EQqO2ml***
Our Email: Rezcrypt@cock.li
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 17 сентября:
Пост на форуме >>
Новый формат добавляемого расширения:
Шаблон: .Email=(<email>)ID=.<random{15-17}>
Примеры:
.Email=(legion.developers72@gmail.com)ID=.2JyLcseQVbaIXGi
.Email=(SuckBaBe@Rape.LoL)ID=.3NlgpjA6iOruxby
.Email(legion.developers72@gmail.com)(ID=.2JyLcseQVbaIXGi
.Email(SuckBaBe@Rape.LoL)(ID=.0WgxQvyj8XOTlE3
Обновление от 18 сентября:
Расширение: .Lazarus+
Пример зашифрованного файла: Image.jpg.[ID=mdP6RrqEFX][Mail=Mr.TeslaBrain@gmail.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Mr.TeslaBrain@gmail.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID :mdP6R*****
Our Email: Mr.TeslaBrain@gmail.com
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 22 сентября:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Записка: HowToDecrypt.txt
Email: jacdecr@tuta.io
➤ Содержание записки:
Your Files Have Been Encrypted
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID :OQ0U8dJHt23z***
Our Email: jacdecr@tuta.io
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 25 сентября:
Пост на форуме >>
Расширение: .KRONOS или .kronos
Составное расширение: .Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Записка: HowToDecrypt.txt
Email: Mr.TeslaBrain@gmail.com
Обновление от 29 сентября 2019:
Пост в Твиттере >>
Расширение: .KRONOS
Составное расширение: .Email=[Rezcrypt@cock.li]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Rezcrypt@cock.li]ID=[asWU0qXwntBRVlh].KRONOS
Записка: HowToDecrypt.txt
Email: Rezcrypt@cock.li
Файл EXE: Rezcrypt@cock.li_Kronos.exe
Файл проекта: motherfucker.pdb
Результаты анализов: VT + HA + IA + AR
Обновление от 1 октября 2019:
Пост в Твиттере >>
Расширение: .Angus
Составное расширение: .Email=[Legion.developers72@gmail.com]ID=[<id>].Angus
Пример зашифрованного файла: Image.jpg.Email=[Legion.developers72@gmail.com]ID=[RuJays3FTQ4P2gq].Angus
Записка: HowToDecrypt.txt
Email: Legion.developers72@gmail.com
Результаты анализов: VT + AR + IA + HA
Использует сайт www.sfml-dev.org/ip-provider.php для определения IP компьютера.
Файл проекта: D:\kronos+\motherfucker\Release\motherfucker.pdb
➤ Содержание записки:
Your Files Have Been Encrypted
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID : *****
Обновление от 2 октября 2019:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[decryptfiles@horsefucker.org]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[decryptfiles@horsefucker.org]ID=[ArL7Yv1EtQi5HRn].KRONOS
Email: decryptfiles@horsefucker.org
Обновление от 8 октября 2019:
Пост на форуме >>
Другие расширения:
.Email=[<email>]ID=[<id>].Unknown
.Email=[<email>]ID=[<id>].Skynet
.Email=[<email>]ID=[<id>].Rez
.Email=[<email>]ID=[<id>].Codelocks
Обновление от 8 октября 2019:
Пост на форуме >>
Расширение: .lol
Составное расширение: .Email=[Datarest0re@aol.com]ID=[<id>].lol
Пример зашифрованного файла: Image.jpg.Email=[Datarest0re@aol.com]ID=[mHYdZEKBMUqbaCs].lol
Email: Datarest0re@aol.com, Datarest0re@protonmail.com
Jabber: datarest0re@xmpp.jp
Записка: HowToDecrypt.txt
➤ Содержание записки:
Your ID :mHYdZEKBMUqbaCs
Our Email: Datarest0re@aol.com
in case of no answer contact : Datarest0re@protonmail.com
jabber id:datarest0re@xmpp.jp
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 8 октября 2019:
Расширение: .hiddenhelp
Составное расширение: .Email=[Hiddenhelp@cock.li]ID=[<id>].hiddenhelp
Пример зашифрованного файла: Image.jpg.Email=[Hiddenhelp@cock.li]ID=[KXM5ZYgE4BisA9L].hiddenhelp
Email: Hiddenhelp@cock.li
Обновление от 10 октября 2019:
Email: legion.developers72@gmail.com, decodehelp@cock.li
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: legion.developers72@gmail.com
in Case of No Answer: decodehelp@cock.li
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 11 октября 2019:
Статус: файлы можно расшифровать.
Топик на форуме >>
Пост в Твиттере >>
Расширение: .James
Составное расширение: Email=[RestoreData@airmail.cc]ID=[XXXXXXXXXXXXXXX].James
Записка: HowToDecrypt.txt
Экран блокировки с сообщением >>
Email: RestoreData@airmail.cc
Файл EXE: uiapp.exe
Результаты анализов: VT + IA + AR
Видеообзор с требованиями выкупа:
Обновление от 11 октября 2019:
Статус: файлы не расшифровать.
Идентификация в IDR: Ouroboros v6
Пост в Твиттере >>
Топик на форуме >>
Пост на форуме >>
Шифрование: RSA+AES 256 GCM
Расширение: .odveta
Составное расширение: .Email=[fixallfiles@tuta.io]ID=[<id>].odveta
Пример зашифрованного файла: Image.jpg.Email=[fixallfiles@tuta.io]ID=[YE1GTCOVQZNRXDW].odveta
Записка: HowToDecrypt.txt
Email: fixallfiles@tuta.io
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: fixallfiles@tuta.io
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 12 октября 2019:
Расширение: .odveta
Составное расширение (шаблон): .Email=[Recoveryhelp2019@protonmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Пример: .Email=[Recoveryhelp2019@protonmail.com]ID=[MQ7UZHVY82XCJ3B].odveta
Email: Recoveryhelp2019@protonmail.com
Записка: ???
Файл: out.exe
Результаты анализов: VT
Обнаружения:
DrWeb -> Trojan.Encoder.29750
BitDefender -> DeepScan:Generic.Ransom.Ouroboros.*
ALYac -> Trojan.Ransom.Ouroboros
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
Malwarebytes -> Ransom.Ouroboros
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
TrendMicro -> Ransom_Crypren.R002C0WJD19
Tencent -> Malware.Win32.Gencirc.10b88dff
Обновление от 26 октября 2019:
Пост в Твиттере >>
Расширение: .Lazarus+
Пример зашифрованного файла: Image.jpg.[ID=XXXXXXXXXX][Mail=leltitbedecrypteddzi@gmail.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.txt
Email: leltitbedecrypteddzi@gmail.com
Результаты анализов: VT + VMR
Обновление от 2 ноября 2019:
Записка: HowToDecrypt.txt
Email: blackroot54@protonmail.com, recovery94@cock.li
Обновление от 6 ноября 2019:
Топик на форуме >>
Расширение: .odveta
Составное расширение: .Email=[Datarest0re@aol.com]ID=[8NTGF30V4PUK***].odveta
Email: Datarest0re@aol.com
Обновление от 11 ноября 2019 или раньше:
Пост на форуме >>
Расширение: .odveta
Составное расширение: .Email=[Mr.TeslaBrain@protonmail.com]ID=[PJBVFUMYG54D***].odveta
Записка: Unlock-Files.txt
Email: Mr.TeslaBrain@protonmail.com, teslabrain@cock.li
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: Mr.TeslaBrain@protonmail.com
in Case of No Answer Contact : teslabrain@cock.li
Your Id: PJBVFUMYG54D***
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 18 декабря 2019:
Топик на форуме >>
Расширение: .rx99
Пример зашифрованного файла: image001.png.Email=[filedownload2020@protonmail.com]ID=[GTLBXNIVTRSBVESAJAFH].rx99
Email: filedownload2020@protonmail.com, rx99@cock.li
Записка: How_to_Unlock-Files.txt
➤ Содержание записки:
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 (Private ransomware) using rx99 ransomware.
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : GTLBXNIVTRSBVESAJAFH
Contact : filedownload2020@protonmail.com or rx99@cock.li
What are the guarantees that I can decrypt my files after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
=== 2020 ===
Обновление от 1 января 2020:
Пост в Твиттере >>
Расширение: .odveta
E-mail: TeslaBrain@cock.li, Mr.TeslaBrain@protonmail.com
Результаты анализов: VT + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30519
BitDefender -> Generic.Ransom.Ouroboros.86DDF22C
ALYac -> Trojan.Ransom.Ouroboros
Microsoft -> Ransom:Win32/Ouroboros.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Edni
TrendMicro -> Ransom_Ouroboros.R002C0DAT20
Обновление от 22 января 2020:
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email=[RestoreData@airmail.cc]ID=[F02KHQJL6G41STN].odveta
Записка: Unlock-Files.txt
Email: RestoreData@airmail.cc
Результаты анализов: VT + HA + IA + AR
Обновление от 24 января 2020:
Предположительное родство. Формат зашифрованного файла отличается.
Пост в Твиттере >>
Расширение: .Bitdefender
Составное расширение: .Email=[Bitdefender2020@cock.li].Bitdefender
Email: Bitdefender2020@cock.li
Обновление от 27 января 2020:
Ouroboros v7: дата компиляции 13 января 2020.
Идентификация в IDR: Ouroboros v6.
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email=[Honeylock@protonmail.com]ID=[NXQH26TM7KZ1***].odveta
Записка: Unlock-Files.txt
Email: Honeylock@protonmail.com
Специальные файлы: ids.txt, Pkey.txt
Файл проекта: D:\Ouroboros v7\Ouroborosv7\Release\Ouroborosv7.pdb
Файл: ZX.exe
Результаты нализов: VT + AR + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30564
BitDefender -> Generic.Ransom.Ouroboros.B486E52D
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
➤Другие Email:
AdvancedBackup@protonmail.com
recover85@protonmail.com
unlock0101@protonmail.com
rdpmanager@airmail.cc
Обновление от 31 января 2020:
Ouroboros v7: дата компиляции 28 января 2020.
Идентификация в IDR: Ouroboros v6.
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email_[SupportOdveta@protonmail.com]ID_[XXXXXXXXXXXXXXX].odveta
Записка: Unlock-Files.txt
Email: SupportOdveta@protonmail.com, SupportOdveta@elude.in
Специальные файлы: ids.txt, Pkey.txt
Файл проекта: D:\Ouroboros v7\Ouroborosv7\Release\Ouroborosv7.pdb
Результаты анализов: VT + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30845
BitDefender -> Generic.Ransom.Ouroboros.15155BA0
Microsoft -> Ransom:Win32/Ouroboros.PA!MTB
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
Symantec -> ML.Attribute.HighConfidence
Обновления от 2 февраля 2020:
Ouroboros v7. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Составное расширение: .Email=[js3010@rape.lol]ID=[XXXXXXXXXXXXXXX].odveta
Другой вариант: .Email=[Honeylock@protonmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Email: js3010@rape.lol
Другой Email: Honeylock@protonmail.com
Результаты анализов: VT + VT
Обновление от 4 февраля 2020:
Пост в Твиттере >>
Расширение: .Ouchachia
Составное расширение (шаблон): .Email=[softs98@protonmail.com]ID=[<id{20}>].Ouchachia
Составное расширение (пример): .Email=[softs98@protonmail.com]ID=[EWTETYHUGCFMBIFWVSTU].Ouchachia
Записка: How_to_Unlock_Files.txt
Email: softs98@protonmail.com, rx99@cock.li
Результаты анализов: VT
Фактически, это уже Sorena Ransomware и надо делать отдельную статью.
➤ Содержание записки:
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using Ouchachia virus.
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : EWTETYHUGCFMBIFWVSTU
Contact : softs98@protonmail.com or rx99@cock.li or http://t.me/Ouchachia
What are the guarantees that I can decrypt my files after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
What happens after the ransom is paid?
You get a compact file from us running on your server
And everything will return to its original state and you will not need to switch servers
We will respect the agreement we reached with you
If you do not find an answer from us please refer to our telegram address The email may be unavailable http://t.me/Ouchachia
We are not cyber criminals, we only use our talent for cyber security and get paid for it.
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Обновление от 26 февраля 2020:
Ouroboros v7. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Составное расширение (шаблон): .Email=[josefrendal797@gmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Пример такого расширения: .Email=[josefrendal797@gmail.com]ID=[705F8261Y4DERUN].odveta
Email: josefrendal797@gmail.com
Пост в Твиттере >>
Расширение: .rails
Составное расширение (шаблон): .Email=[tools1990m@gmail.com]ID=[XXXXXXXXXXXXXXX].rails
Пример такого расширения: .Email=[tools1990m@gmail.com]ID=[705F8261Y4DERUN].rails
Записка: How_to_Unlock_Files.txt
Email: tools1990m@gmail.com
Telegram: http://t.me/File001
Видео: https://www.youtube.com/watch?v=_TZ6Ytab2Pg
Результаты анализов: VT + VT
Фактически, это уже Sorena Ransomware и надо делать отдельную статью.
➤ Обнаружения:
Malwarebytes -> Ransom.Sorena.GO
DrWebTrojan.MulDrop11.48709
BitDefender -> Gen:Variant.Ursu.747827
ESET-NOD32 -> A Variant Of Win64/Filecoder.AY
Rising -> Trojan.Filecoder!8.68 (CLOUD)
SymantecTrojan.Gen.MBT
➤ Содержание записки:
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using rails virus,
Video Decrypt: https://www.youtube.com/watch?v=_TZ6Ytab2Pg
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
It is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : MAHHWVKVABTPFDLDH***
Contact : toolsl990m@gmail.com or http://t.me/File001
What are the guarantees that I can decrypt my tiles after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after I week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
Warning : If you email us late You may miss the Decrypt program Because our emails are blocked quickly So it is better as soon as they read email Email us :)
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Пост в Твиттере >>
Расширение: .vash
Составное расширение (шаблон): .Email=[vashmail@protonmail.com]ID=[***].vash
Записка: Unlock_Files.txt
Email: vashmail@protonmail.com, vashmail@ctemplar.com, vashmail@firemail.cc, VASHMAIL@KEEMAIL.ME
➤ Содержание записки:
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using vash virus.
For Trust You can Send us Test Files And We Decrypt That And Send To You.
Short video on how to decrypt files: https://www.youtube.com/watch?v=2q9C6chiqs4
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : [redacted uppercase 20 alpha]
The first email may not be available so send a message to all the following emails
Contact us : vashmail@protonmail.com vashmail@ctemplar.com vashmail@firemail.cc VASHMAIL@KEEMAIL.ME
You don't pay a lot of money, you just pay for a good security issue so be happy because we've fixed your security issue
What are the guarantees that I can decrypt my files after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins
Ouroboros v7-8. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Специальные файлы: ids.txt, Pkey.txt
Файл EXE: ours.exe
Составное расширение (пример): .Email=[josefrendal797@gmail.com]ID=[NXQH26TM7KZ1R5J].odveta
Записка: Unlock-Files.txt
Email: josefrendal797@gmail.com
Оригинальное название проекта:
D:\ouroboros v8\Ouroborosv7\Release\Ouroborosv7.pdb
Результаты анализов: VT + AR + IA + HA
Обновление от 12 марта 2020:
Расширение: .odveta
Составное расширение (пример): .Email=[Filedecryptor@protonmail.com]ID=[ХХХХХХХХХХХХХХХ].odveta
Записка: Unlock-Files.txt
Email: Filedecryptor@protonmail.com
Обновление от 24 марта 2020:
Расширение: .odveta
Составное расширение (пример): .Email=[darkencryptor@tutanota.com]ID=[ХХХХХХХХХХХХХХХ].odveta
Записка: Unlock-Files.txt
Email: darkencryptor@tutanota.com
Обновление о 25 марта 2020:
Расширение: .odveta
Составное расширение (пример): .Email=[smartrecav@tutanota.com]ID=[1NPH5TK6249SQBJ].odveta
Email: smartrecav@tutanota.com
Обновление от 27 марта 2020:
Пост на форуме >>
Расширение: .odveta
Записка: Unlock-Files.txt
Email: josefrendal797@gmail.com, decodeodveta@protonmail.com
Обновление от 3 апреля 2020:
Расширение: .encrypt
Составное расширение (шаблон): .Email=[<email>]ID=[<ID>].encrypt
Email: decrypt0077@gmail.com
Обновление от 11 апреля 2020:
Пост на форуме >>
Расширение: .odveta
Составное расширение (пример): .Email=[Decfile431@tutanota.com]ID=[HZ3AWD15F4CYP12].odveta
Записка: Unlock-Files.txt
Email: Deccoder431@protonmail.com, Decfile431@tutanota.com
***
По всей видимости Ouroboros был закрыт, передав "багаж" в другие вымогательские проекты, в Vash-Sorena в частности. Обновление от 24 октября 2020:
Майкл Джиллеспи определил его уже как Vash-Sorena. Отдельная статья пока не написана. Нужно суммировать данные.
Расширение: .encrypt
Составное расширение (пример): .Email=[decryptfiles5@gmail.com]ID=[AFNFAWXQTCJLLJJO].encrypt
Email: decryptfiles5@gmail.com
© Amigo-A (Andrew Ivanov): All blog articles.
Email: decryptfiles5@gmail.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! В некоторых случаях можно расшифровать файлы! Рекомендуем обратиться по ссылке, указанной здесь. Подробнее о поддерживаемых версиях расшифровщика >> *
Другой способ для Lazarus и Lazarus+! Скачать дешифровщик от BitDefender >> Описание работы дешифровщика прилагается.
Read to links: Tweet on Twitter (myTweet) ID Ransomware (ID as Zeropadypt, Ouroboros, Ouroboros v6) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author), Alex Svirid, GrujaRS James, M. Shahpasandi BitDefender to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.