Если вы не видите здесь изображений, то используйте VPN.

пятница, 11 октября 2019 г.

Mespinoza, Pysa

Mespinoza Ransomware

Pysa Ransomware

Mespinoza (Pysa) Doxware

Mespinoza (Pysa) Hand-Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на ПК бизнес-пользователей и компаний с помощью AES, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 1.exe, 51.exe или что-то еще. 

Вымогатели, распространяющие Mespinoza-Pysa, стали угрожать опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.30075, Trojan.Encoder.30386, Trojan.Encoder.30815
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ransom.Dee.1
Kaspersky -> UDS:DangerousObject.Multi.Generic, HEUR:Trojan-Ransom.Win32.Encoder.gen
TrendMicro -> Ransom.Win32.LOCKERGOGA.AF, Ransom.Win32.MESPINOZA.A
---
© Генеалогия: Vurten > Mespinoza, Pysa

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на октябрь 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.README


Содержание записки о выкупе:
Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
mespinoza980@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Shit happens.

Перевод записки на русский язык:
Привет компания,
Каждый байт на любых типах ваших устройств был зашифрован.
Не пытайтесь использовать резервные копии, потому что они тоже зашифрованы.
Чтобы получить все свои данные, свяжитесь с нами:
mespinoza980@protonmail.com
--------------
ВОПРОСЫ-ОТВЕТЫ:
1.
    Q: Как я могу убедиться, что ты не обманешь меня?
    A: Вы можете отправить нам 2 файла (не более 2 МБ).
2.
    В: Что нужно сделать, чтобы вернуть все данные?
    A: Не перезагружайте компьютер, не перемещайте файлы и пишите нам.
3.
    Q: Что сказать моему боссу?
    A: Дерьмо случается.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Может останавливать процессы антивирусных программ и Windows Defender, чтобы потом беспрепятственно шифровать файлы.



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.README
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mespinoza980@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019
Pysa Ransomware - декабрь 2019 - январь 2020 и позже



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 ноября 2019:
DrWeb -> Trojan.Encoder.30075
Пост в Твиттере >>
Топик на форуме >>
Расширение: .locked
Записка: Readme.README
Email: alanson_street8@protonmail.com, lambchristoffer@protonmail.com
Файлы: 51.exe %supdater.bat
Результаты анализов: VT + HA + IA + AR


➤ Содержание записки: 

Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
alanson_street8@protonmail.com
lambchristoffer@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Shit happens.



Вариант от 14 декабря 2019:
DrWeb -> Trojan.Encoder.30386
Пост в Твиттере >>
Расширение: .pysa
Этимология для PYSA: "Protect Your System Amigo". 
Записка: Readme.README
Email: aireyeric@protonmail.com, ellershaw.kiley@protonmail.com
Результаты анализов: VT + AR


➤ Содержание записки:

Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Protect Your System Amigo.



Вариант от 22 января 2020:
DrWeb -> Trojan.Encoder.30815
Пост в Твиттере >>
Расширение: .pysa
Записка: Readme.README
Email: raingemaximo@protonmail.com
gareth.mckie31@protonmail.com
Мьютекс: Pysa
Результаты анализов: VT + VMR
Этот вариант распространяется с помощью грубых атак на консоли управления и аккаунты Active Directory и PowerShell-скриптов.
код Pysa Ransomware Ransom.Win32.LOCKERGOGA.AF, довольно специфичный и короткий по сравнению с другими вымогателями. 



Вариант от 18 марта 2020 года:
Расширение: .newversion
Фактически обновленный вариант Pysa Ransomware, который был представлен ранее - в конце декабря 2019 и в январе 2020. 
Некоторые подробности см. в статье >>


=== 2021 ===

Вариант от 5 января 2021: 
DrWeb -> Trojan.Encoder.32290
Расширение: .pysa
Записка: Readme.README.txt
Дата компиляции: 1 декабря 2020. 
Результаты анализов: VT + HA

 

 



С марта 2020 участились атаки вымогателей с использованием Pysa Ransomware на американские и канадские правительственные учреждения, образовательные учреждения, частные компании и сектор здравоохранения. По последним данным, вымогатели специально нацелены на высшее образование и общеобразовательные школы K-12 (название включает 12 лет начального и среднего образования).
ФБР рекомендует не выплачивать выкуп вымогателям, поскольку уступка их требованиям, скорее всего, профинансирует их будущие атаки в этой и других областях.
ФБР понимает ущерб, который образовательные учреждения могут понести после таких атак, и призывает их как можно скорее сообщать об атаках в местное отделение ФБР или в Центр жалоб на преступления в Интернете (IC3), независимо от решения платить выкуп или нет.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Mespinoza)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov (author)
 GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 6 октября 2019 г.

OnyxLocker

OnyxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: OnyxLocker. На файле написано: OnyxLocker.exe. Разработчик: David.

Обнаружения:
DrWeb -> Exploit.Rtf.CVE2012-0158 + Trojan.Encoder.29682, Trojan.Encoder.30404
BitDefender -> Trojan.GenericKD.32536925, Gen:Variant.Razy.567225
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: OnyxLocker > Clay, Clay 2.0
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .onx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа (10 штук) называются: 
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt

 

Содержание записки о выкупе:
Моя почта для связи: crypt@ctemplar.com
|||
Меня зовут David. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, текстовые файлы и многое другое!  Короче говоря, вы облажались ... но вам повезло. Почему это?? 
|||
Я вымогатель, который оставляет вам только 12 часов, чтобы собрать деньги и заплатить мне, затем ваши файлы будет невозможно расшифровать!) 
|||
Любые вопросы относительно разблокировки файлов, вы можете задавать написав на почту: crypt@ctemplar.com
|||
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
|||
1. Могу ли я вернуть свои драгоценные файлы?
|||
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
|||
2. Нет другого способа вернуть мои файлы?
|||
Ответ: Нет
|||
3. Хорошо, что мне тогда делать?
Ответ: Просто вам придется заплатить 100 $ на этот биткойн-адрес: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
|||
4. Что за хрень биткойн?
|||
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin.
|||
5. Здесь вы можете оплатить, выбрав самый выгодный курс.
|||
Вставьте эту ссылку в адресную строку вашего браузера: https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html

Перевод записки на русский язык:
уже сделан

Английского варианта нет. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений) и файлы без расширений

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
goload_1008_1569853988.doc
Orinal.exe (OnyxLocker.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt@ctemplar.com
BTC: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis (dropper) >>
Hybrid analysis (encoder) >>
𝚺  VirusTotal analysis (dropper) >>
𝚺  VirusTotal analysis (encoder) >>
🐞 Intezer analysis (encoder) >>
ᕒ  ANY.RUN analysis (encoder) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 декабря 2019:
Пост в Тивттере >>
Расширение: .onx
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
RECOVERY INSTRUCTIONS 9 .txt
Файл: OnyxLocker.exe
Результаты анализов: VT + AR
➤ Новые обнаружения: 
DrWeb -> Trojan.Encoder.30404
BitDefender -> Gen:Variant.Razy.567225
Malwarebytes -> Ransom.OnyxLocker

Обновление от 23 января 2020:
Пост в Твиттере >>
Расширение (на русском): .кристина
Записки: Read-me!!! 0 .txt, Read-me!!! 1 .txt и далее под другими номерами
Email: crypt@ctemplar.com
Файлы: LTE.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30272
BitDefender -> Gen:Variant.MSILPerseus.203758
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VE
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WAH20


*** неизвестные пропущенные варианты ***


Обновление от 17 ноября 2020:
Пост в Твиттере >>
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
Файл проекта: C:\Users\aguim\Desktop\OnyxLocker-master\OnyxLocker\obj\Debug\OnyxLocker.pdb
Примечательно, что это тот же разработчик, что и в CryptoJoker2020
➤ Список расширений целевых файлов:
 .3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений). 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OnyxLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 S!Ri
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 5 октября 2019 г.

HackdoorCrypt3r

HackdoorCrypt3r Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HackdoorCrypt3r. В записке написано: "HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers".

Обнаружения:
DrWeb -> Trojan.Encoder.29282
BitDefender -> Generic.Ransom.WCryG.74DCED97

© Генеалогия: ✂️ HiddenTear >> HackdoorCrypt3r
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hackdoor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Штамп времени: 29 июля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !how_to_unlock_your_file.txt

Содержание записки о выкупе:
HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers
*************************************************
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time, no one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free.File must not contain valuable information.
Price of private key and decrypt software is S980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
DecryptFs@protonmail.com
Mark Data Restore
Your personal lD(lmportant!!!):
***
Our BTC Address:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Once we confirm your payment,we will send you decrypt soft to decrypt all your file:
***

Перевод записки на русский язык:
HackdoorCrypt3r © Автор DecryptFs и группа пакистанских хакеров
*************************************************
К сожалению! Ваши файлы были зашифрованы.
Если вы видите этот текст, ваши файлы теперь недоступны.
Возможно, вы ищете способ восстановить ваши файлы.
Не тратьте свое время, никто не сможет восстановить их без нашей служба дешифрования.
Мы гарантируем, что вы можете восстановить все ваши файлы безопасно. Все, что вам нужно сделать, это отправить платеж и получить пароль для расшифровки.
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к необратимой потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК, и мы расшифруем его бесплатно.
Но мы можем дешифровать только 1 файл бесплатно. Файл не должен содержать ценной информации.
Цена на закрытый ключ и расшифровку программного обеспечения - S980.
Скидка 50% доступна, если вы связываетесь с нами в первые 72 часа, цена для вас составит $ 490.
Обратите внимание, что вы никогда не сможете восстанавливать свои данные без оплаты.
Проверьте свой email в "Spam" и "Junk" папках, если вы не получили ответ более 6 часов.
Чтобы получить эту программу, вам необходимо написать на наш email:
DecryptFs@protonmail.com
Отметить Data Restore
Ваш личный Л.Д. (Важно!!!):
***
Наш адрес BTC:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Как только мы подтвердим ваш платеж, мы вышлем вам программу для расшифровки всех ваших файлов:
***

Онлайн загружается изображение с темным фоном. Текста никакого нет.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet


Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_jou, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneyw, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_m, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspima, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bd, .sav, .save, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite, .sqlite, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (380 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsFormsApp2.exe (d.exe)
d.pdb - оригинальное название проекта
!how_to_unlock_your_file.txt
<random>.exe - случайное название вредоносного файла
021e44da5addc20ffe5f09d9ec813f05.jpg - загруженное изображение

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\.nuget\packages\ilmerge\2.14.1208\tools\d.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware-URL: xxxx://btcanonymous.co/
xxxx://btcanonymous.co//api.php
URL загруженного изображения: xxxxs://sathisharthars.files.wordpress.com/2014/12/021e44da5addc20ffe5f09d9ec813f05.jpg
Email: DecryptFs@protonmail.com
BTC: 3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGfJA
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *