LILU, Lilocked

Lilocked Ransomware
LILU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на веб-сайтах и серверах, Linux системах с помощью AES, а затем требует выкуп в 0.001 - 0.01 и более BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Linux.Encoder.66

ALYac -> Trojan.Ransom.Linux.Gen
BitDefender -> Trojan.Linux.Lilock.A

Kaspersky -> HEUR:Trojan-Ransom.Linux.Lilock.a

Microsoft -> Trojan:Linux/Multiverze

TrendMicro -> Ransom.Linux.LILOCKED.THIAOAIA

---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lilocked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г., но продолжалась весь июль. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

В подтверждение начальной даты мы обнаружили несколько скомпрометированных сайтов с зашифрованными файлами и расставили их по датам зашифрованных файлов. 

Записка с требованием выкупа называется: #README.lilocked

Содержание записки о выкупе:
WE APOLOGIZE BUT YOU NEED TO PAY THE RANSOM - ALL YOUR FILES HAS BEEN LILOCKED
IT IS STRONG ENCRYPTION AND YOU LOSS YOUR DATA UNLESS YOU PAY US
PLEASE VISIT OUR SITE WITH TOR 
https://www.torproject.org/download/ 
y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
COPY THE FOLLOWING KEY THERE AND FOLLOW THE INSTRUCTIONS, YOUR KEY IS
99dc9f575a0c90aac37b13c68bf82a7be88de2521a696f9778dfe94108790d9fb52***

Перевод записки на русский язык:
МЫ ИЗВИНЯЕМСЯ, НО ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ ВЫКУП - ВСЕ ВАШИ ФАЙЛЫ БЫЛИ LILOCKЕНЫ
ЭТО НАДЕЖНОЕ ШИФРОВАНИЕ И ВЫ ПОТЕРЯЕТЕ ВАШИ ДАННЫЕ, ЕСЛИ НЕ ЗАПЛАТИТЕ НАМ
ПОЖАЛУЙСТА, ПОСЕТИТЕ НАШ САЙТ С TOR 
https://www.torproject.org/download/ 
y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
СКОПИРУЙТЕ СЛЕДУЮЩИЙ КЛЮЧ ТУДА И СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ВАШ КЛЮЧ ЭТО
99dc9f575a0c90aac37b13c68bf82a7be88de2521a696f9778dfe94108790d9fb52***

 

Сообщение на сайте вымогателей после ввода ключа: 
Dear, you damn too fast. Please, wait until I update my database or contact me via email xijintao@tutanota.com

Перевод сообщения на русский язык:
Дорогой, ты жутко быстр. Подожди, пока я обновлю базу данных или пиши мне на email xijintao@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифровальщик после шифрования самоудаляется. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#README.lilocked
<random>.exe - случайное название вредоносного файла

Расположения:
/tmp/bin/****.elf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
Email: xijintao@tutanota.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 сентября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Расширение: .lilocked
Записка: #README.lilocked
URL: hxxx://y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
Email: xijintao@tutanota.com
BTC: 1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef

➤ Содержание текста в записке:
I'VE ENCRYPTED ALL YOUR SENSITIVE DATA!!! IT'S A STRONG ENCRYPTION, SO DON'T BE NAIVE TO RESTORE IT;)
YOU CAN BUY A DECRYPTION KEY FOR A SMALL AMOUNT OF BITCOINS!
YOU HAVE 7 DAYS TO DECRYPT YOUR FILES OR YOUR DATA WILL BE PERMANENTLY LOST!!!
PLEASE VISIT MY SITE WITH TOR BROWSER https://www.torproject.org/download/
hxxx://v7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion

COPY THE FOLLOWING KEY THERE AND FOLLOW THE INSTRUCTIONS! (L2)
YOUR KEY IS
[key]
---
➤ Содержание текста на странице сайта:
Hi: dear, I apologize but I've encrypted all your data:)
Don't worry - I'll give it back in exchange for small amount of bitcoins
Let me help You with some instructions...
Download bitcoin wallet, Electrum is ok hxxxs://electram.org/#download
Then go to https://localbitcoins.com/buy_bitcoins and find a seller in your country
Transfer 0.030 BTC to this wallet 1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef
Return to this site to get your key
In case of any problems you can contact me at xijintao@tutanota.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Lilocked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

BoooamCrypt

BoooamCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке назван как virus-encoder. На файле написано: нет данных.

Обнаружения: 
DrWeb -> Trojan.Encoder.28053
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NTV
Malwarebytes -> Ransom.GetCrypt
VBA32 -> BScope.TrojanRansom.Encoder
Symantec -> Ransom.Crysis

© Генеалогия: ✂️ GetCrypt (только текст записки) + другой код > BoooamCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .boooam@cock_li

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя пришлась найден в начале июля 2019 г. Штамп времени: 22 августа 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your computer has been attacked by virus-encoder.
All your files are now encrypted using cryptographycalli strong aslgorithm. 
Without the original key recovery is impossible. 
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: boooamg@cock.li 
It is in your interest to respond as soon as possible to ensure the restoration of your files.

Перевод записки на русский язык:
Ваш компьютер был атакован вирусом-шифратором.
Все ваши файлы зашифрованы криптографически сильным алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ВАМ НАДО НА НАШ EMAIL: boooamg@cock.li
В ваших интересах ответить быстро, чтобы обеспечить восстановление ваших файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ В отличие от GetCrypt Ransomware использует библиотеку Libsodium.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
a55086648784.exe
<random>.exe - случайное название вредоносного файла
encryption_key

Содержание файла encryption_key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boooam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as BoooamCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

CXK-NMSL, ChineseBAT

CXK-NMSL Ransomware

ChineseBAT Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: CXK-NMSL (указано в записке). На файле написано: CXK-NMSL.bat. Разработчик: NyanMEMZ, Mimiks-Workshop.

Обнаружения:
DrWeb -> BAT.Encoder.82, BAT.671, BAT.MulDrop.7, Trojan.Encoder.30983
BitDefender -> Trojan.BAT.Ransom.C, Trojan.BAT.Ransom.D, Trojan.GenericKD.32724777
ESET-NOD32 -> BAT/TrojanDropper.Agent.NCY
Symantec -> Trojan Horse, Trojan.Gen.MBT
Microsoft -> Trojan:Win32/Zpevdo.B

© Генеалогия: более ранние BAT Ransomware >> CXK-NMSL (ChineseBAT)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cxk_nmsl

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру. Может быть связан с ExpBoot Ransomware.

Записка с требованием выкупа называется: CXK-NMSL-README.txt

Содержание записки о выкупе:
---=    CXK NMSL!    =---******************************************************************************************
你电脑上的文件都被加密了！
-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索 软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文 件。
如何解密这些文件？
--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫 描并解密你电脑上的文件。
价格及付款方法。
----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格 
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/272280576
       注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
       然后点击<如何给UP主充电？> 电池=B币
 | 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                   
 | 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
 注意！
---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。

Перевод записки на русский язык:
Файлы на вашем компьютере зашифрованы!
---=    CXK NMSL!    =---**********************
-----------------------------------------------------------
Документы, изображения, видео, аудио и zip-файлы на вашем компьютере ... Почти все типы файлов зашифрованы с помощью программы-вымогателя cxk-nmsl!, Поэтому их нельзя открыть обычным способом. Это существенно отличается от поврежденного файла. Вы можете выйти в интернет, чтобы найти
Ища способы восстановления файлов, я могу гарантировать, что без меня, чтобы помочь вам расшифровать, даже если придет Cai Xukun, вы не сможете восстановить ваши файлы.
Как расшифровать эти файлы?
--------------------------------------------------------------------
Только я могу помочь вам расшифровать ваши файлы, но это плата. Вам необходимо приобрести мой расшифровщик и использовать его для сканирования и расшифровки файлов на вашем компьютере.
Цена и способ оплаты.
----------------------------------------------------------------------
Я принимаю только B-монеты. Если вы не понимаете, что такое B-монеты или не знаете, как купить B-монеты, перейдите по ссылке
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
Цена
Вам нужно заплатить 100 B-монет и 10 каскадных призрачных видео на bilibili, чтобы расшифровать ваши файлы.
Кстати, три связи - это как монета и коллекция. Монеты, управляемые монетами, вознаграждены, и это и B-монета - два понятия.
Если вы не понимаете, что такое монета или не знаете, как ее получить, перейдите по ссылке
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
Способ оплаты
| 0. Зарегистрировать аккаунт - https://www.bilibili.com/
| 1. Купить B-монеты
2. Заплатите 100 B-монет на https://space.bilibili.com/272280576
       Обратите внимание, пожалуйста, оплатите "зарядкой", если вы не знаете, как работать, перейдите на
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
       Затем нажмите <Как подзарядить батарею? >  = валюта B
 3. После завершения платежа нажмите <Отправить сообщение>, чтобы связаться, подтвердите, что платеж прошел успешно, и пришлите мне снимок экрана 10 Cai Xukun Ghost Video Three.
 4. Поскольку я не в сети все время, дождитесь ответа после завершения платежа и отправки сообщения.
 Обратите внимание!
---------------------------------------------------------------------------------
Не изменяйте расширение файла и его содержимое, так как это может повредить файл.
Поэтому, пожалуйста, не пытайтесь.

Технические детали

Нет точных данных о распространении, кроме китайских сайтов и форумов. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Из-за ошибки в коде шифровальщика удаляет большинство файлов на системном диске, вместо шифрования. 

Файлы, связанные с этим Ransomware:
CXK-NMSL.bat
CXK-NMSL-README.txt
CXK-NMSL-README.txt.exe
js-файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Страница разработчика NyanMEMZ и его твит:
xxxxs://space.bilibili.com/272280576

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20-22 октября 2019:
DrWeb -> BAT.671
Версия: CXK-NMSL V2.0
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .cxkdata
Записка: CXK-NMSL-README.txt.exe
Файлы: CXK-NMSL V2.0.bat, CXK-NMSLV2.0.bat.js, x.js
Заменяет обои рабочего стола своим изображением с текстом на китайском и картинками неприличного содержания. 
Файл загруженного архива: CXK-NMSL V2.0.bat.zip
Результаты анализов: VT + VT + AR + AR

Обновление от 12 ноября 2019:
Версия: CXK-NMSL V3.1
DrWeb -> BAT.MulDrop.7
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .cxkdata
Записки: CXK-NMSL-README.txt, CXK-NMSL-README.e
Файлы: exe2bat.py, CXK-NMSL V3.1.bat, CXK-NMSLV3.1.bat.js, CXK-NMSL V3.1.bat.cxkdata
Результаты анализов: VT + HA + AR

➤ Содержание записки: 
---= CXK NMSL! V3.1 =---

******************************************************************************************
你电脑上的文件都被加密了！-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索
软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文
件。
如何解密这些文件？--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫
描并解密你电脑上的文件。
价格及付款方法。----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/477206244
      注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
      然后点击<如何给UP主充电？> 注意：电池=硬币
| 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                        
| 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
注意！---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。
---=    END    =---

Обновление от 17 ноября 2019:
Версия: CXK-NMSL V3.2
DrWeb -> BAT.MulDrop.7
BitDefender -> Trojan.BAT.Ransom.D, Trojan.GenericKD.32724777
Qihoo-360 -> Win32/Trojan.Ransom.30a
Пост в Твиттере >>
Пост в Твиттере >>
Расширения: .cxkdata и .cxk_nmsl
Записки: CXK-NMSL-README.txt, CXK-NMSL-README.e
Файлы: CXK-NMSL V3.2.bat, exe2bat.py
Результаты анализов: VT + HA + AR / AR + VT

➤ Содержание записки: 
---= CXK NMSL! V3.2 =---

******************************************************************************************
你电脑上的文件都被加密了！-----------------------------------------------------------
你电脑上的文档、图片、视频、音频、压缩包……几乎所有类型的文件都被cxk-nmsl!勒索
软件加密了，因此无法正常打开。这和已经损坏的文件有本质上的区别。你大可去网上找
找恢复文件的方法，我敢保证，没有我来帮你解密，就算是蔡徐坤来了也恢复不了你的文
件。
如何解密这些文件？--------------------------------------------------------------------
只有我能帮你解密你的文件，但是这是要付些费用的。你需要购买我的解密器，用它来扫
描并解密你电脑上的文件。
价格及付款方法。----------------------------------------------------------------------
我只会接受B币如果你搞不懂B币是什么或是不知道怎么购买B币请前往
https://www.bilibili.com/blackboard/help.html#B%E5%B8%81%E7%9B%B8%E5%85%B3?id=669064f15cb84ca5a9ff48081bf00c99
价格
你需要支付100B币，以及给bilibili上的10个蔡徐坤鬼畜视频三连以解密你的文件。
顺便明一下，三连即点赞、投币、收藏。投币即打赏硬币，这和B币是两个概念。
如果你不懂硬币是什么或者不知道怎么获取硬币请前往
https://www.bilibili.com/blackboard/help.html#%E7%A1%AC%E5%B8%81%E7%9B%B8%E5%85%B3?id=0a9b4e2ca5e942b4a565a83390399d0c
付款方法
| 0. 注册一个帐号 - https://www.bilibili.com/ 
| 1. 购买B币 
| 2. 支付100B币到https://space.bilibili.com/477206244
      注意，请通过“充电”进行支付，如果你不知道怎么操作讲前往
https://www.bilibili.com/blackboard/help.html#%E5%85%85%E7%94%B5%E8%AE%A1%E5%88%92?id=14cf474095a44dae9a497fba17fa55d7
      然后点击<如何给UP主充电？> 注意：电池=硬币
| 3. 支付完成后点击<发消息>进行联系，确认付款成功，并将给10个蔡徐坤鬼畜视频三连的截图发给我。                        
| 4. 由于我不是时刻在线，所以付款完成和发完消息之后请等待回复。
注意！---------------------------------------------------------------------------------
不要修改文件扩展名及文件内容，这可能会损坏文件。
所以，请不要尝试。
---=    END    =---

Обновление от 20 декабря 2019:
Пост в Твиттере >>
Версия: CXK-NMSL V3.3.1

Обновление от 9 февраля 2020: 
Пост в Твиттере >>
Теперь группа разработчиков стала называться: Mimiks-Workshop

NyanMEMZ (CXK-NMSL) + MIAIONE (ExpBoot)

Обновление от 25 февраля 2020:
Пост в Твиттере >>
Расширение: .cxkdata
Файлы: CXK-NMSL.bat, MBR.bat, fuse.bat
Результаты анализов: VT + AR
---
Пост в Твиттере >>
Версия: CXK-NMSL V3.3
Расширения: .cxk_nmsl и .cxkdata
Файлы: CXK-NMSL.bat, fuse.vbs, fuse.bat
Результаты анализов: VT + AR
DrWeb -> Trojan.Encoder.30983
BitDefender -> Gen:Heur.Zilix.1
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Packed.Black.Eddt
Symantec -> Trojan.Gen.MBT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать, кроме тех, которые физически повреждены или удалены. 
Пострадавшие могут написать Майклу Джиллеспи.
***
В более новых версиях, вероятно, шифрование улучшено. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CXK-NMSL)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 NyanMEMZ, dnwls0719, 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.