D00mEd

D00mEd Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: D00mEd Virus, указано в записке. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .D00mEd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_MEE.txt

Содержание записки о выкупе:
         ======          DOOmEd Virus (important)          ======
All Your Important files have been Encrypted with D00mEd virus. If you value your files and will like to get them back, you have to contact us to get the unlock key to Decrypt your files so you can start using them again. If not you loose your files forever.
You have limited time to contact us because your unlock key won't be with us very long!
All files are encrypted with RSA-2048 and AES-128 ciphers.
NOTE:
=============
Folders Encrypted:
  Files Encrypted:
How do i get the key to unlock my files?
You will have to pay for it. Contact us quickly!
Its a reasonable price. Just [
Send Email to us = {

Перевод записки на русский язык:
====== DOOmEd Virus (важно) ======
Все Ваши важные файлы были зашифрованы вирусом D00mEd. Если вы цените свои файлы и хотите получить их обратно, вам надо связаться с нами, чтобы получить ключ разблокировки для расшифровки ваших файлов, чтобы вы могли начать использовать их снова. Если нет, вы потеряете свои файлы навсегда.
У вас мало времени, чтобы связаться с нами, потому что ваш ключ разблокировки не будет у нас очень долго!
Все файлы зашифрованы с использованием шифров RSA-2048 и AES-128.
ПРИМЕЧАНИЕ:
=============
Папки зашифрованы:
   Зашифрованные файлы:
Как получить ключ для разблокировки моих файлов?
Вам придется заплатить за это. Свяжитесь с нами быстро!
Это разумная цена. Только что [
Отправить нам письмо = {

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_MEE.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as D00mEd)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Project Root

Project Root Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project Root. Написан на языке Go. Предназначен для Windows и Linux (для x32 и x64 систем). 

Обнаружения:
DrWeb -> Trojan.Encoder.32554
BitDefender -> Gen:Variant.Ransom.GoRansom.3
Avira (no cloud) -> HEUR/AGEN.1117040
ESET-NOD32 -> A Variant Of Win64/Filecoder.AX
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.80 (RDML:***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09IE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Project Root. Начало

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lulz


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Этимология названия: 
За основу видимо взято название одноименной онлайн-игры "Project Root". Хотя это может быть лишь сопоставлением известных слов, словосочетание которых просто понравилось разработчикам-стартаперам вымогательского проекта. 

Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Fuck.txt

Содержание записки о выкупе:
You are hacked
your all files have been encrypted
if you want you files back
email us here : sxvcsacobyzurlock@protonmail.com with your unique id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Fuck you!!!

Перевод записки на русский язык:
Ты взломан
все твои файлы зашифрованы
если ты хочешь вернуть файлы
пиши нам сюда: sxvcsacobyzurlock@protonmail.com с твоим уникальным id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Иди ты!!!

Также загружает изображение, заменяющее обои Рабочего стола.

Технические детали

Распространяется на форумах кибер-андеграунда как RaaS. Стартаперы набирают партнеров. Вымогательский проект доступен в двух версиях. "Стандартная" версия стоит $150 в биткойнах и позволяет генерировать неограниченное количество "базовых" полезных данных через свой портал, а также компоненты управления и распространения ключей. Обновления этой версии бесплатны в течение 6 месяцев. В течение последних двух недель цена стандартной версии колебалась от $50 до "Бесплатной". "Pro" версия обеспечивает лучшую поддержку, более длительный срок бесплатных обновлений и расширенные возможности уклонения от анализа. Покупатели получают полный доступ к исходному коду для расширенных "возможностей настройки" и приложение-конструктор . Pro-версия рекламировалась все время, но официально "запущена" 17 октября. 

После покупки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифровальщик пытается очистить локальные журналы событий Windows и установить новый корневой сертификат. 

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .7z, .accdb, .ai, .apk, .arch00, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bin, .bkf, .bkp, .blob, .bsa, .c, .cab, .cas, .cdr, .cer, .cfr, .con, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdc, .kf, .lbf, .litemod, .lng ttarch2, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mdf, .mef, .menu, .mlx, .mp3, .mp4, .mpq, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .t12, .t13, .tax, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .ztmp (196 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Fuck.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Загрузка картинки: https://i.postimg.cc/pdbqqS5P/new.jpg
Загрузка картинки: https://postimg.cc/Snd6KDGP
Tor-URL: http://prootk6nzgp7amie.onion
DNS: ec2-3-18-214-41.us-east-2.compute.amazonaws.com
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up-2, Topic of Support
 * 

 Thanks: 
 Jim Walter (SentinelOne)
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AepCrypt

AepCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 400€ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: Matrix? > AepCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aep


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на греческих пользователей, что не мешает распространять его по всему миру. Вполне возможно, что есть англоязычные и иноязычные версии. 

Записка с требованием выкупа называется: #READ ME - YOUR FILES ARE LOCKED#.rtf

Содержание записки о выкупе:
               !!! ΣΗΜΑΝΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑ !!!!
Τα περισσότερα και πιο πολύτιμα αρχεία σας στον "σκληρό" δίσκο του υπολογιστή σας αλλά και τους εξωτερικούς "σκληρούς" σας δίσκους είναι κρυπτογραφημένα με κρυπτογράφηση AES-256.
Περισσότερες πληροφορίες σχετικά με το AES μπορείτε να βρείτε εδώ:
      http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Η αποκρυπτογράφηση των αρχείων σας είναι δυνατή μόνο με το ιδιωτικό κλειδί και το πρόγραμμα αποκρυπτογράφησης Decryptor™.
Το ειδικό λογισμικό Decryptor™ σας επιτρέπει την αποκρυπτογράφηση και τον έλεγχο όλων των κρυπτογραφημένων σας αρχείων.
Ο μόνος τρόπος για να λάβετε το ιδιωτικό σας κλειδί και το πρόγραμμα αποκρυπτογράφησης είναι ο παρακάτω:
ΑΓΟΡΑ DECRYPTOR™
Μπορείτε να πραγματοποιήσετε πληρωμή ΜΟΝΟ με bitcoins.
Στείλτε 400 ΕΥΡΩ σε Bitcoins στο Bitcoin λογαριασμό: 
1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
  Παρατήρηση: Η διαδικασία της επιβεβαίωσης της συναλλαγης μπορεί να πάρει εώς και 1-6 ώρες το πολύ.
Προσωπικό ID: 185***
Στείλτε το προσωπικό σας ID και το ID της συναλλαγής Bitcoins στο email: 
 upeditco@gmail.com 
και θα λάβετε το link για να μεταβείτε στην ιστοσελίδα για την λήψη του αποκρυπτογραφητή καθώς επίσης και τον μοναδικό σας κωδικό αποκρυπτογράφησης.
                !! ΠΡΟΣΟΧΗ !!
Το πρόγραμμα και το προσωπικό κλειδί αποκρυπτογράφησης είναι διαθέσιμα για 
Εφτά (7) και ΜΟΝΟ ημέρες. 
Μετά την πάροδο των 7 ημερών καμία συναλλαγή δεν θα ληφθεί υπόψιν και τα αρχεία σας θα μείνουν για ΠΑΝΤΑ ΚΛΕΙΔΩΜΕΝΑ.
Προσωπικό ID: 185987 Διάρκεια μέχρι και 5/10/2019.
ΠΩΣ ΜΠΟΡΕΙΤΕ ΝΑ ΑΠΟΚΤΗΣΕΤΕ BITCOINS
1) Χρειάζεται να αποκτησέτε ένα bitcoin πορτοφόλι.
Το πιο απλό ψηφιακό πορτοφόλι - https://login.blockchain.com/el/#/signup
ή
άλλοι τρόποι δημιουργίας πορτοφολιού - https://www.wikihow.com/Create-an-Online-Bitcoin-Wallet
2) Η αγορά bitcoins γίνεται κάθε μέρα και πιό εύκολη.
Σας προτείνουμε:
https://localbitcoins.com Η υπηρεσία αυτή σας επιτρέπει να βρίσκετε ανθρώπους στον τόπο διαμονή σας που μπορούν να σας πουλήσουν τα bitcoins άμεσα.
https://localbitcoins.com/buy-bitcoins-online/ - Ίδια υπηρεσία για εύκολη και αξιόπιστη αγορά bitcoins online.
https://coincafe.com/ - Απλή και εύκολη εξυπηρέτηση.
https://cex.io/index/ - Αγορά bitcoins με VISA/MASTERCARD ή με τραπεζικό έμβασμα.
Αλλοι διαδικτυακοί τρόποι αγοράς bitcoins:
https://btcdirect.eu/
https://bitquick.co/
https://howtobuybitcoins.info/#!/
https://www.coinjar.com/eu/
https://bittylicious.com/
https://anxpro.com/



Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Большинство ваших ценных файлов на жестком диске вашего компьютера и внешних жестких дисках зашифрованы с шифрованием AES-256.
Более подробную информацию об AES можно найти здесь:
      http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы расшифровки Decryptor™.
Специальное программное обеспечение Decryptor™ позволяет расшифровывать и контролировать все зашифрованные файлы.
Единственный способ получить ваш закрытый ключ и расшифровать программу ниже:
КУПИТЬ ДЕКРИПТОР™
Вы можете оплатить только биткойнами.
Отправьте 400 евро на биткойны в биткойн-аккаунте:
1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
  Примечание. Процесс подтверждения транзакции может занять до 1-6 часов.
Персональный ID: 185 ***
Отправьте ваш персональный ID и номер транзакции биткойнов на email:
 upeditco@gmail.com
и вы получите ссылку для перехода на сайт для загрузки декодера, а также ваш уникальный код дешифрования.
                !! ВНИМАНИЕ !!
Программа и личный ключ расшифровки доступны 
Семь (7) и ТОЛЬКО дней.
Через 7 дней никакие транзакции не будут приняты во внимание, и ваши файлы останутся ВСЕГДА ЗАБЛОКИРОВАННЫМИ.
Персональный ID: 185*** Время до 5/10/2019.
КАК ПОЛУЧИТЬ БИТКОИНЫ
1) Вам необходимо получить биткойн-кошелек.
Самый простой цифровой кошелек - https://login.blockchain.com/en/#/signup
или
другие способы создания кошелька - https://www.wikihow.com/Create-an-Online-Bitcoin-Wallet
2) Покупать биткойны становится все легче и легче с каждым днем.
Мы рекомендуем:
https://localbitcoins.com Этот сервис позволяет вам найти людей по месту жительства, которые могут напрямую продавать вам биткойны.
https://localbitcoins.com/buy-bitcoins-online/ - Собственный сервис для простой и надежной покупки биткойнов онлайн.
https://coincafe.com/ - Простое и удобное обслуживание.
https://cex.io/index/ - Покупайте биткойны с помощью VISA / MASTERCARD или банковским переводом.
Другие способы купить биткойны онлайн:
https://btcdirect.eu/
https://bitquick.co/
https://howtobuybitcoins.info/#!/
https://www.coinjar.com/eu/
https://bittylicious.com/
https://anxpro.com/

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ В конце каждого зашифрованного файла есть маркер AEP. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#READ ME - YOUR FILES ARE LOCKED#.rtf
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: upeditco@gmail.com
BTC: 1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 ***
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Muhstik

Muhstik Ransomware

QNAPCrypt-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на сетевых накопителях QNAP NAS с помощью AES-256 (режим CBC) + SHA256, а затем требует выкуп в 0.045 - 0.09 BTC (~$700), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Также, как его предшественник QNAPCrypt-1, он предназначен для шифрования данных на сетевых устройствах QNAP, отсюда его второе название. По сообщениям исследователей, эта программа не имеет прямого отношения к QNAPCrypt-1 (eCh0raix), хотя есть определенное внешнее сходство. 

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: QNAPCrypt-1 (eCh0raix) >> QNAPCrypt-2 (Muhstik)

Изображение — только логотип статьи (муха сидит на замке с шифром)

К зашифрованным файлам добавляется расширение: .muhstik


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:
All your files have been encrypted.
You can find the steps to decrypt them in any the following links:
http://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Could go offline at any time
http://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Could go offline at any time
Or use TOR link, guaranteed Online 100% of the time:
http://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
Do NOT remove this file and DO NOT remove last line in this file!
Your ID: 9cc32d5a-8fd4-4ee7-b34b-ed6042b51375

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Вы можете найти шаги, чтобы расшифровать их в любой из следующих ссылок:
http://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Может быть отключен в любое время
http://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Может быть отключен в любое время
Или используйте TOR-ссылку, гарантирующую 100% времени онлайн:
http://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Используйте TOR-браузер для доступа к веб-сайтам .onion.
https://duckduckgo.com/html?q=tor+browser+how+to
НЕ удаляйте этот файл и НЕ удаляйте последнюю строку в этом файле!
Ваш ID: 9cc32d5a-8fd4-4ee7-b34b-ed6042b51375

Содержание текста на сайте оплаты:
Your files have been encrypted, to recover them you need the decryption software and your private key. You can buy both of them for 0.045 Bitcoin.
Time left for payment:
1 day 17 hours 4 minutes 14 seconds
After this time decryption software cost will be increased to 0.09 BTC.
Find where to get Bitcoin here:
blockchain.info
localbitcoins.com
google.com
Send 0.045 BTC to the following address:
133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
ONLY SUBMIT YOUR EMAIL AFTER YOU SENT THE BTC.
If you submit your email before sending the payment your amount will be instantly doubled!
After payment enter your real email address to get the decryptor software.
Enter a valid email address
Your decrypted demo file is ready to download, open the following link.
http://13.233.53.172/.cache/download/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375-split-IMG_20160608_111553.jpg

Перевод текст ана русский язык:
Ваши файлы были зашифрованы, для их восстановления вам нужна программа для расшифровки и ваш личный ключ. Вы можете купить оба за 0.045 биткойнов.
Оставшееся время для оплаты:
1 день 17 часов 4 минуты 14 секунд
По истечении этого времени стоимость программы для расшифровки будет увеличена до 0.09 BTC.
Здесь можно найти биткойны:
blockchain.info
localbitcoins.com
google.com
Отправьте 0.045 BTC по следующему адресу:
133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
ТОЛЬКО ПРИШЛИТЕ СВОЙ EMAIL ПОСЛЕ ТОГО, КАК ВЫ ОТПРАВИЛИ BTC.
Если вы отправите email перед отправкой платежа, ваша сумма будет мгновенно удвоена!
После оплаты введите свой реальный email-адрес, чтобы получить программу для расшифровки.
Введите корректный email
Ваш расшифрованный демонстрационный файл готов к загрузке, откройте следующую ссылку.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Вредоносный ELF-файл запрограммирован на самоудаление. 

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-адреса: 
xxxx://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
xxxx://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
Tor-URL: xxxx://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
Email: 
BTC: 133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать, если вы можете подключиться к QNAP-устройству 
через Windows или переместить файлы в другое место, куда ПК с Windows может 
получить к ним доступ, то вы можете использовать для расшифровки файлов 
бесплатные расшифровщики от Emsisoft и McAfee.
Если ключа нет в базе данных, то расшифровка невозможна. 
Скачать Emsisoft Decryptor for Muhstik >>
Скачать McAfee Ransomware Recover (Decryption Tool) >>

 Read to links: 
 my Tweet on Twitter + Tweet 
 ID Ransomware (ID as Muhstik)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft, Andrew Ivanov (author)
 Michael Gillespie, Lawrence Abrams, quietman7
 Tobias Frömel
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.