PZDC

PZDC Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на серверах с помощью GNU Privacy Guard (GnuPG), а затем требует выкуп в 100 Monero, чтобы вернуть файлы. По словам самих вымогателей, ориентирован на любые базы данных, которые могут быть найдены в компьютере. Оригинальное название: в записке не указано. На файле написано: нет данных. 

© Генеалогия: предыдущие GnuPG-вымогатели > PZDC

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pzdc

Этимология названия:
Вымогатели никак не назвали свой шифровальщик, поэтому для названия статьи по традиции было использовано расширение .pzdc, добавляемое к зашифрованным файлам. Слово, скрытое в расширении, понятно любому, кто знаком с русским языком. Фактически оно является международным, но не переводится ни на один язык буквально и в полном соответствии со своим значением. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину июня 2019 г. Первый случай шифрования произошел 14-15 июня. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. 
Предлагает использовать для связи специальный "ящик" на подпольном сайте Runion. 

Записка с требованием выкупа называется: 1_VIRUS_SHIFROVALSHIK.txt

Содержание записки о выкупе (грамота оригинала):
Здраствуй дорогой друг! Хочу поделиться с тобой успехами нашей команды. Мы вышли на новый уровень в своем мастерстве и теперь мы шифруем только базы данных и то что похоже на их резервные копии. Нам больше не нужны фотографии, документы Ворд, Эксель и прочая информация. Мы собираем деньги только с богатых людей. Если в этот момент ты смотрел ютьюб или порнхаб на своем домашнем десктопе и увидел это сообщение не переживай, мы не тронули твои файлы. Удали этот файл и больше не открывай письма от незнакомых адресов с вложениями. Извини что на**али в твой десктоп.
________________________________________________________________
Если ты тот самый успешный менеджер... Чувак тебе не повезло))) В твоей команде есть глупые люди и за их глупость нужно платить. Нам не нужны биткоины, мы принимаем только монэро. Если тебе дороги твои базы давай договариваться. Мы готовы выслать тебе дешифратор за символическую сумму в 100 Monero(XMR). Для этого тебе необходимо связаться с нами через Tor браузер. Нужно зайти на сайт Runion http://lwplxqzvmgu43uff.onion/ после чего на вкладках найти значок ящика. Чтобы ты не заблудился вкладок всего 7: Манифест, Правила, Связь с Администрацией, Runion Wiki и ящик который тебе нужен.В строке получателя введи этот адрес bbfd729a5a2f. Не закрывай окно ящика или сохрани ссылку которая подсвечивается зеленым цветом в строке "доступ к вашим сообщениям по этой ссылке, сохраните ее и держите в секрете". Если готов к диалогу то обязательно сохрани это публичный ключ
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK----- 
По этому ключу мы сможем конкретно для тебя выпустить твой личный дешифратор. Пиши и мы скажем на какой кошелек нужно перевести Monero, где ее купить и какой кошелек для этого лучше всего использовать. Если для тебя все это слишком сложно обратись к своим IT специалистам они в этом разбираются. 
________________________________________________________________
Hello dear friend! I want to share with you the success of our team. We have reached a new level in our skills and now we only encrypt databases and what looks like their backup copies. We no longer need photos, documents Word, Excel and other information. We collect money only from rich people. If at that moment you watched YouTube or PornHub on your home desktop and saw this message, don’t worry, we didn’t touch your files. Delete this file and do not open any more letters from unknown addresses with attachments. Sorry I didn't give a shit about your desktop.
________________________________________________________________
If you're the same successful manager ... Dude, you're out of luck))) There are stupid people in your team and you have to pay for their stupidity. We don't need bitcoins, we only accept monero. If you value your bases, let's negotiate. We are ready to send you a decoder for a symbolic sum of 100 Monero (XMR). To do this, you need to contact us through the Tor browser. You need to go to the site Runion http://lwplxqzvmgu43uff.onion/ and then on the tabs to find the box icon. So that you do not get lost tabs total 7: Manifest, Rules, Communication with the Administration, Runion Wiki and the box you need. In the recipient line, enter this address bbfd729a5a2f. Do not close the mailbox window or save the link which is highlighted in green in the line "access your messages via this link, save it and keep it secret". If you are ready for dialogue, be sure to save this public key.
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK----- 
According to this key, we can release your personal decoder specifically for you. Write and we will tell on which wallet you need to transfer Monero, where to buy it and which wallet for this is best to use. If all this is too difficult for you to contact your IT specialists, they understand this.

Перевод записки на русский язык:
уже сделан

Средство связи на сайте Runion:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифровальщик генерирует безопасный ключ для AES и защищает его с помощью открытого ECDH-ключа.

➤ Пример зашифрованного файла в окне просмотра PeStudio:

Список файловых расширений, подвергающихся шифрованию:
Ориентирован на любые базы данных, которые могут быть найдены в компьютере. 
По словам вымогателей не должны быть зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, которые не являются базами данных. 

Файлы, связанные с этим Ransomware:
1_VIRUS_SHIFROVALSHIK.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://lwplxqzvmgu43uff.onion/
Email: - 
BTC: - 
Monero: 100 XMR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
  myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

Я не знаю, поможет ли...
ЛК предлагает воспользоваться утилитой ScatterDecryptor, 
чтобы расшифровать файлы с расширениями .PZDC.
Ссылка на статью и дешифровщик >>

 Thanks: 
 Alex Svirid, Andrew Ivanov (author)
 al1963
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Chekyshka

Chekyshka Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные сетевых хранилищ NAS с помощью AES, а затем требует выкуп в $1200 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: StorageCrypter, Cr1ptT0r, MegaLocker (похожи по типу атаки) > Chekyshka

Этимология названия:
В основе слова "Chekyshka" русское слово "чекушка" (четвертинка) - маленькая бутылка водки емкостью в четверть литра. 

Изображение показывает то, что в основе названия вымогателя

К зашифрованным файлам добавляется расширение: .chekyshka


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!CHEKYSHKA_DECRYPT_README.TXT

Содержание записки о выкупе:
All your files have been encrypted.
Your unique id: A0244D50B9034A419856CADBEE5DF40D
You can buy decryption for 1200$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion web page in the Tor Browser and follow the instructions.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Ваш уникальный id: A0244D50B9034A419856CADBEE5DF40D
Вы можете купить расшифровку за 1200$ в биткойнах.
Но прежде чем платить, вы можете убедиться, что мы правда можем расшифровать любые ваши файлы.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделайте это:
1) Загрузите и установите браузер Tor (https://www.torproject.org/download/)
2) Откройте веб-страницу y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion в браузере Tor и следуйте инструкциям.

Содержание текста на сайте:
Chekyshka Virus Decryption Test (заголовок)
1) Send me a few encrypted files (no more 3 files, no more 5 MB each, one per letter) and your ID from !!!CHEKYSHKA_DECRYPT_README.TXT to sherlokcock@cock.li
2) I will decipher them and send you back with bitcoin address for payment.
3) After payment ransom for Bitcoin, I will send you a decryption program and instructions. If I can decrypt your files, I have no reason to deceive you after payment.
How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment. Depending on your location, you can pay the ransom in different ways. Use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends. Here are some links:
https://buy.blockexplorer.com - payment by bank card
https://www.buybitcoinworldwide.com
https://localbitcoins.net 

Перевод текста на русский язык:
Chekyshka Virus Decryption Test (заголовок)
1) Пришлите мне несколько зашифрованных файлов (не более 3 файлов, не более 5 МБ каждый, буква к букве) и свой ID из !!!CHEKYSHKA_DECRYPT_README.TXT на sherlokcock@cock.li
2) Я расшифрую их и отправлю обратно с биткоин-адресом для оплаты.
3) После оплаты выкупа за биткоины, я вышлю вам программу расшифровки и инструкции. Если я смогу расшифровать ваши файлы, у меня нет причин обманывать вас после оплаты.
Как я могу заплатить выкуп?
После расшифровки тестовых файлов вы увидите сумму оплаты в биткоинах и биткоин-кошелек для оплаты. В зависимости от вашего местоположения вы можете заплатить выкуп разными способами. Используйте Google, чтобы найти информацию о том, как купить биткоины в вашей стране, или воспользуйтесь помощью более опытных друзей. Вот несколько ссылок:
https://buy.blockexplorer.com - оплата банковской картой
https://www.buybitcoinworldwide.com
https://localbitcoins.net 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!CHEKYSHKA_DECRYPT_README.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor URL: y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion
Email: sherlokcock@cock.li
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-5 июля 2019:
Пост на форуме >>
Расширение: .chekyshka
Записка: !!!CHEKYSHKA_DECRYPT_README.TXT

➤ Содержание записки: 
All your files have been encrypted.
Your unique id: 556629372BA743A4BB3F32D8683A6***
You can buy decryption for 350$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion web page in the Tor Browser and follow the instructions.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myTweet
 ID Ransomware (ID as Chekyshka)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Litra

Litra Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100-350 $/€, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: noitidetsrif.exe 

Обнаружения:
DrWeb -> Trojan.Encoder.28588
BitDefender -> Trojan.GenericKD.41387691
ALYac -> Trojan.Ransom.Filecoder
Malwarebytes -> Ransom.Litra
TrendMicro -> Ransom.Win32.OMEGAX.THGOHAIA
Rising -> Ransom.Litra!1.B95B (CLASSIC)

© Генеалогия: HiddenTear >> Blank > Dodger, Litra

К зашифрованным файлам добавляется расширение: .litra


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Окно экрана блокировки

Текст из внутренней части экрана блокировки

Содержание текста о выкупе:
All of your personal files including documents, pictures, texts and other sensitive data are encrypted.
---
QUESTIONS & ANSWERS TO THEM
==========================
* Can I get my files back?
===============
- Yes, you can get your files back by following these simple steps :
> REGISTER A NEW ADRESS AT : www.protonmail.com
> CONTACT: omegax0@protonmail.com
* How much money do I need?
===================
- The prices are somewhere between 100-350USD/EUR based on the sensitivity of your data.
* What if I don't want to pay?
=================
- You'll be left helpless. There is no way to decrypt your files without us, because the encryption key is not static (generated randomly).
* How much time do I have?
=================
- We are kind, so you have your entire lifetime to contact us.
---
Rules
We are not the people you really want to annoy. We will most probbably block you, if you even try to "troll" us around. The key to get your files back are simple : > have patience... there is no better answer.

Перевод текста на русский язык:
Все ваши личные файлы, включая документы, изображения, тексты и другие конфиденциальные данные, зашифрованы.
---
ВОПРОСЫ И ОТВЕТЫ НА ИХ
==========================
* Могу ли я получить свои файлы обратно?
===============
- Да, вы можете вернуть свои файлы, выполнив следующие простые шаги:
> РЕГИСТРАЦИЯ НОВОГО АДРЕСА НА: www.protonmail.com
> КОНТАКТ: omegax0@protonmail.com
* Сколько денег мне нужно?
===================
- Цены где-то между 100-350USD/EUR в зависимости от чувствительности ваших данных.
Что делать, если я не хочу платить?
=================
- Вы останетесь без помощи. Невозможно расшифровать ваши файлы без нас, т.к. ключ шифрования не статический (генерируется случайным образом).
* Сколько у меня времени?
=================
- Мы добры, поэтому у вас есть вся ваша жизнь, чтобы связаться с нами.
---
Правила
Мы не те люди, которых вы действительно хотите раздражать. Скорее всего, мы вас просто заблокируем, если вы попытаетесь "троллить" нас. Ключ к возврату ваших файлов прост :> наберитесь терпения ... лучшего ответа нет.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
noitidetsrif.pdb (Noitide Tsrif) - оригинальное название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: omegax0@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать!
Пострадавшие могут написать по этой ссылке Майклу. 
***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Litra)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Bitch

Bitch Ransomware

Modified Green Petya Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

© Генеалогия: Petya-2 Ransomware >> Bitch Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в июне 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает чёрный экран с зелёным текстом как у Petya-2 Ransomware. 

Содержание записки о выкупе:
You became victim of the BITCH RANSOMWARE
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
http://petya3jxfp2f7g3i.onion/dREF2y
http://petya3sen7dyko2n.onion/dREF2y
3. Enter your personal decryption code there:
fdREF2-yU2H89-wqVVtU-tj6oVY-jezDpd-jfKKex-PWmMKG-P8ewwT-UWAuPR-J1bsyK-2YNyPE-UHUWAm-yvjo9a-yVFjq5-5JLtuD-908fA1
If you already purchased your key, please enter it below.
Key: 

Перевод записки на русский язык:
Вы стали жертвой BITCH RANSOMWARE
Жесткие диски вашего компьютера зашифрованы с помощью алгоритма шифрования военного уровня. Без специального ключа нет возможности восстановить ваши данные. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните три простых шага:
1. Загрузите Tor браузер по адресу "https://www.torproject.org/". Если вам нужна помощь, введите в Google "доступ к луковой странице".
2. Посетите одну из следующих страниц в браузере Tor:
http://petya3jxfp2f7g3i.onion/dREF2y
http://petya3sen7dyko2n.onion/dREF2y
3. Введите здесь свой персональный код расшифровки:
fdREF2-yU2H89-wqVVtU-tj6oVY-jezDpd-jfKKex-PWmMKG-P8ewwT-UWAuPR-J1bsyK-2YNyPE-UHUWAm-yvjo9a-yVFjq5-5JLtuD-908fA1
Если вы уже приобрели ключ, введите его ниже.
Ключ: 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Вредоносный функционал как у Petya-2 Ransomware. 

Незначительные изменения: собственная пара ECC-ключей не создана, вместо этого используются один жестко запрограммированный ключ Salsa, который одинаков для каждого запуска: "qVwaofRW5NbLa8gj". 

Скриншоты от исследователей. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://petya3jxfp2f7g3i.onion/dREF2y
http://petya3sen7dyko2n.onion/dREF2y
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Petya Ransomware
Petya+Misha (Petya-2) Ransomware
GoldenEye (Petya-3) Ransomware
PetrWrap Ransomware
Petna (Petya NSA EE, Petna, NotPetya, NonPetya, Nyetya) Ransomware
Bitch (Modified Green Petya) Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, hasherezade
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.