Mermaid Ransomware
Deniz Kızı Ransomware
Aliases: Deniz_Kızı, DenizKızı, Deniz_Kizi, DenizKizi
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью TR1224 некоего алгоритма двойного шифрования + AES-265 для ключей, а затем требует выкуп в $400, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ztarter.exe. Написан на Delphi. Разработчик из Турции.
Обнаружения:
DrWeb -> Trojan.DownLoader30.55033, Trojan.Siggen9.1635
BitDefender -> Trojan.GenericKD.32832730, Gen:Variant.Graftor.495603, Gen:Variant.Ursu.721460, Trojan.GenericKD.32916223
ALYac -> Trojan.Ransom.Turkish
Avira (no cloud) -> TR/Crypt.FKM.Gen
Malwarebytes -> Trojan.Downloader, Ransom.Mamo
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Microsoft -> Trojan:Win32/Wacatac.B!ml
ESET-NOD32 -> A Variant Of Win32/Packed.VMProtect.NL, A Variant Of Win32/Packed.EnigmaProtector.M Suspicious
© Генеалогия: MaMoCrypter, MZRevenge, Deniz Kızı (Mermaid)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Deniz_Kızı
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Этимология названия:
Слово "Deniz Kızı" турецкое, означает "дочь моря", фактически, это Mermaid (англ. Русалочка). Отсюда название статьи и шифровальщика. В первоначальных вариантах шифровальщика названия в записке не было, но слово "Deniz Kızı" добавлялось к зашифрованным файлам как новое расширение. После моей публикации статьи вымогатели стали использовать это слово в качестве названия и добавили его в записку о выкупе (см. после статьи Обновление от 8 января).
Ранняя активность этого крипто-вымогателя пришлась на вторую половину декабря 2019 г., но продолжилась и в начале 2020 г. Ориентирован на англоязычных и турецких пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Please Read Me!!!.hta
Содержание записки о выкупе:
FILES ARE ENCRYPTED:
Hello! All your documents, photos, databases and other important files are ENCRYPTED! Do you really want to restore your files?
If you want to unlock your data, you need to buy special decoding software!
Write to our email - yardimail1@aol.com If you do not receive a reply within 24 hours, write to our additional email address - yardimail2@aol.com
We"ll send you a complete instruction on how to decrypt all your files.
=================================================
* WHAT SHOULD I DO ??=================================================
First of all your files are NOT DAMAGED!
Your files have been modified and encrypted with the TR1224 double encryption algorithm.
This change is reversible. The only way to decrypt your files is to purchase the decipher tool that is special to you.
Any attempt to irreversibly corrupt your files, and attempting to restore them with third-party software will be fatal to your files.
=================================================
* SO MY FILES WILL RETURN TO THE OLD STATE AND HOW SHOULD I PAY ???=================================================
To decode the password you have to buy our special decoding tool, we already said that.
and the deciphering tool costs $ 400, you will pay by bitcoin and you must contact us for payment.
Once the payment is made, we will send you the special decoding tool by email.
and it is enough to run the.
=================================================
* FREE DECRYPT FILE!!! =================================================
Free decryption as warranty!
If you don"t believe in our service and want to see proof, you can ask us about the test for decryption.
You send us up to 2 encrypted files.
Use the file sharing service and Win-Rar to send files for testing. Files must be smaller than 1 MB (unarchived) and Files should not matter! Do not send us databases, backups or large excells. Files etc. We will decrypt and send back your decrypted files as proof!
=================================================
* HOW TO BUY BITCOINS ???=================================================
Bitcoins have two simple ways:
Link1: https://exmo.me/en/support#/1_3
Link2: https://localbitcoins.net/guides/how-to-buy-bitcoins
Read the information in these links carefully, because you may need to buy even large quantities.
Note: Use translation for Turkish source.
=================================================
!!! ATTENTION !!! =================================================
!!! If you do not pay within 2 days, you will not be able to recover your files forever.
!!! Do not rename encrypted files.
!!! Do not attempt to decrypt your data using third-party software, as this may cause permanent data loss.
!!! Unraveling your files with the help of third parties can lead to increased prices and don"t trust anyone even your dog.
=================================================
* THE KEY REQUIRED FOR THE DECRYPT TOOL =================================================
Don"t change these 2 key decryption tool for this 2 key required !!!
and please note that these 2 keys are encrypted with the AES-256 encryption system.
Key1:
/RzxA7VCvifE4Hjm8/5IhRLZhFWzP3LzQambUINoFxgs2DAzHjW1w4lW2Uj/YaQiQ***
Key2:
6ilaoa4uQh2q75heZdPCqMk4Ipnz3eBwk/22hxM95c3Tdzb0ZyTzO4ZzBJuN0mSIf***
=================================================
Перевод записки на русский язык:
ФАЙЛЫ ЗАШИФРОВАНЫ:
Здравствуйте! Все ваши документы, фотографии, базы данных и другие важные файлы зашифрованы! Вы правда хотите вернуть ваши файлы?
Если вы хотите разблокировать ваши данные, вам нужно купить специальную программу для декодирования!
Пишите на наш email - yardimail1@aol.com Если вы не получили ответ в течение 24 часов, напишите на наш дополнительный email-адрес - yardimail2@aol.com
Мы вышлем вам полную инструкцию о том, как расшифровать все ваши файлы.
=================================================
* ЧТО НУЖНО СДЕЛАТЬ?
=========================================== ======
Прежде всего, ваши файлы не повреждены!
Ваши файлы были изменены и зашифрованы с помощью алгоритма двойного шифрования TR1224.
Это изменение обратимо. Единственный способ расшифровать ваши файлы - это приобрести специальный инструмент для расшифровки.
Любая попытка необратимого повреждения ваших файлов и попытки восстановить их с помощью сторонних программ будут фатальными для ваших файлов.
=================================================
* ТАК ЧТО МОИ ФАЙЛЫ ВЕРНУТСЯ В СТАРОЕ СОСТОЯНИЕ И КАК МНЕ ПЛАТИТЬ ???
======================================= ==========
Чтобы декодировать пароль, вы должны купить наш специальный инструмент для декодирования, мы уже говорили об этом.
а инструмент дешифрования стоит $400, вы заплатите биткойнами, и вы должны связаться с нами для оплаты.
После оплаты мы отправим вам специальный инструмент для декодирования по email.
и этого достаточно для запуска.
=================================================
* БЕСПЛАТНАЯ ДЕШИФРОВКА ФАЙЛА !!!
=================================================
Бесплатная расшифровка как гарантия!
Если вы не верите в наш сервис и хотите получить подтверждение, вы можете спросить нас о тестовой расшифровке.
Вы отправляете нам до 2 зашифрованных файлов.
Используйте сервис обмена файлами и Win-Rar для отправки файлов на тестирование. Файлы должны быть меньше 1 МБ (не архивированы), и файлы не должны быть ценными! Не присылайте нам базы данных, резервные копии или большие xls-книги. И прочие. Мы расшифруем и отправим обратно ваши расшифрованные файлы в качестве доказательства!
=================================================
* КАК КУПИТЬ БИТКОИНЫ ???
========================================== =======
Для биткойнов есть два простых способа:
Ссылка 1: https://exmo.me/en/support#/1_3
Ссылка 2: https://localbitcoins.net/guides/how-to-buy-bitcoins
Внимательно прочитайте информацию в этих ссылках, потому что вам может потребоваться купить даже большее количество.
Примечание: используйте перевод для турецкого источника.
=================================================
!!! ВНИМАНИЕ !!!
=================================================
!!! Если вы не заплатите в течение 2 дней, вы не сможете восстановить свои файлы никогда.
!!! Не переименовывайте зашифрованные файлы.
!!! Не пытайтесь расшифровать ваши данные с помощью сторонних программ, так как это может привести к необратимой потере данных.
!!! Распутывание ваших файлов с помощью третьих лиц может привести к повышению цен и не доверяйте никому, даже вашей собаке.
=================================================
* КЛЮЧ, НЕОБХОДИМЫЙ ДЛЯ ИНСТРУМЕНТА ДЕШИФРОВАНИЯ
==================================================
Не меняйте эти 2 ключа инструмента расшифровки для этого требуется 2 ключа !!!
и обратите внимание, что эти 2 ключа зашифрованы с помощью системы шифрования AES-256.
***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wbadmin delete systemstatebackup & wbadmin delete systemstatebackup -keepversions:0 & wbadmin delete backup
vssadmin.exe vssadmin delete shadows /all /quiet
WMIC.exe wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
wbadmin.exe wbadmin delete systemstatebackup
wbadmin.exe wbadmin delete systemstatebackup -keepversions:0
wbadmin.exe wbadmin delete backup
➤ Затем с помощью системной программы запускает HTA-файл с требованиями выкупа:
mshta.exe "%WINDIR%\Please Read Me!!!.hta"
127.0.0.1 validation.sls.microsoft.com
Этот адрес служит заглушкой для отключения проверки подлинности системы. Возможно, что шифровальщик это делает для того, чтобы система совсем не обращалась на сайт Microsoft, ни по какому поводу.
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .apk, .arc, .asc, .asf, .asm, .asp, .aspx, .avi, .back, .backup, .bak, .bat, .bmp, .brd, .cfg, .cgm, .class, .cmd, .config, .cpp, .crt, .cs, .csh, .csr, .css, .csv, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .djv, .djvu, .doc, .doc, .docb, .docm, .docx, .dot, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .html, .hwp, .ibd, .jar, .java, .jpe, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .log, .m3u, .m4u, .max, .md, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myd, .myi, .nef, .nef, .odb, .odg, .odp, .ods, .odt, .ogg, .ost, .otg, .otp, .ott, .p12, .paq, .pas, .pdb, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .raw, .rb, .rtf, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlite3, .sqlitedb, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .tor, .txt, .uop, .uot, .vb, .vbox, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (195 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Please Read Me!!!.hta
svchost.exe
Ztarter.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\5P5NRG~1\AppData\Local\Temp\svchost.exe
C:\Users\5p5NrGJn0jS HALPmcxz\Desktop\Ztarter.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Malware-URL: xxxx://anonymousfiles.io/
xxxxs://anonymousfiles.io/f/z.exe
xxxx://anonymousfiles.io/f/dddas.exe
xxxx://anonymousfiles.io/f/letsgo.exe
xxxxs://anonymousfiles.io/f/%D9%85%D8%B3%D8%AA%D9%86%D8%AF%D8%A7%D8%AA_%D9%85%D9%87%D9%85_%D8%AC%D8%AF%D8%A7.ra
Email: yardimail1@aol.com, yardimail2@aol.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
MaMo434376 Ransomware - декабрь 2019
MZRevenge Ransomware - декабрь 2019 ->
Deniz Kızı (Mermaid) Ransomware - декабрь 2019 ->
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Пост в Твиттере >>
Расширение: .Deniz_Kızı
Записка: Please Read Me!!!.hta
Email: yardimail1@aol.com, yardimail2@aol.com
Файлы: Konyali_Zula_Hack_V4_2019_protected.exe, svchost.exe
Результаты нализов: VT + VT + AR
Обновление от 8 января 2020:
Пост в Твиттере >>
Расширение: .Deniz_Kızı
Записка: Lütfen Beni Oku!!!.log
Email: yardimail1@aol.com
URL: xxxx://mamo434376.tk/tarih.php
У меня сайт открылся только через VPN
Файлы: Starter.exe, Konyali_Zula_Hack_V8_2020.exe
Результаты нализов: VT + VMR + AR
➤ Обнаружения:
DrWeb -> Trojan.Siggen9.1635
BitDefender -> Trojan.GenericKD.32916223
ALYac -> Trojan.Ransom.Turkish
Malwarebytes -> Ransom.Mamo
---
➤ Содержание записки:
DENIZ KIZI
Sisteminizde önemli gördügümüz datalarinizi sifreledik. Bilindik veri kurtarma yöntemleri ile verilerinizi geri getiremeyeceginizi - bilmenizi isteriz.
Bu yöntemler sadece sizin zaman kaybetmenize sebep olacaktir. Yinede veri kurtarma firmalari yada programlari kullanmak isterseniz lütfen asil dosyalariniz üzerinde degil, bunlarin kopyalari üzerinde islem yapiniz ve/veya yaptiriniz. Asil dosyalarin bozulmasi verilerinizin geri dönülmez sekilde zarar görmesine sebep olabilir. Sifrelenen dosyalarinizin asillari, üzerinde rast gele veri yazma teknigini kullanarak silinmistir. 2 gün içerisinde dönüs yapilmadigi taktirde, sisteminizde kullanilan sifre silinecektir ve verileriniz asla geri döndürülmiyecektir. Diskleriniz Full disk encryption ile sifrelenmistir yetkisiz müdahale kalici veri kaybina neden olur! Para verseniz daha açmazlar diyen bilgisayarcilara veya parani alir dosyalarini vermez diyen - etrafinizdaki insanlara inanmayin. Size güven verecek kadar yeterli referansa sahibim. Sizi tanimiyorum, dolaysiyla ile size karsi kötü duygular beslemenin size kötülük yapmanin bir anlami"da yok, amacim sadece bu isten bir gelir elde etmek. Ödeme Bitcoin ile yapilmaktadir. Bitcoin ne oldugunu buradan ögrenebilirsiniz : https://simple.wikipedia.org/wiki/Bitcoin Yaptiginiz ödeme sonrasinda, en kisa zamanda verilerinizi eski haline döndürmek için size özel bir sifre çözücü yapacagim ve mail yoluyla size gönderecegim, ama tabi bunun için mail yoluyla bizimle iletisime geçmeniz ve bize ID"nizi göndermeniz gerekir. Sifre çözme aracinin fiyati 300 dolar. 24 saat içerisinde dönüs yaparsaniz size %50 indirim yapacagim. Ödemeyi yapmak ve verilerinizin sifresini çözdürmek için asagidaki iletisim kanalindan bizimle iletisime geçebilirsiniz. Ulasmak istediginizde mutlaka asagida size özel üretilen ID"yi eklemeyi unutmayiniz. SITE_CODE: ID: UMrqwwD*** E-Mail: yardimail1@aol.com
Обновление от 14 февраля 2020:
Пост в Твиттере >>
Расширение: .Deniz_Kızı
Записка: Please Read ME!!!.log
Email: yardimail1@aol.com
URL: ba97b047bd6aa1e4f76f84fd6ec96bd8.gq
Сумма выкупа: за 24 часа - $100, после $950. На все - 3 суток.
Файл: Deniz_Kızı.exe
Результаты анализов: VT + AR + TG + IA
---
Отключает диспетчер задач, модифицирует реестр, заменяет host-файл.
Завершает работу приложений, связанных с базами данных, MS Office, вирутальных машин (Sql, Winword, Wordpad, Outlook, Thunderbird, Oracle, Excel, Onenote, Virtualboxvm, QBW32, WBGX, Teams, Flow, Acronis и прочих программ), удаляет теневые копии файлов, манипулирует размером теневого хранилища, удаляет бэкапы, отключает системный фаервол, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"C:\WINDOWS\system32\cmd.exe" /C netsh firewall set opmode disable
"C:\WINDOWS\system32\cmd.exe" /C vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB
"C:\WINDOWS\system32\cmd.exe" /C vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
"C:\WINDOWS\system32\cmd.exe" /C taskkill /f /im sql.* & taskkill /f /im winword.* & taskkill /f /im wordpad.* & taskkill /f /im outlook.* & taskkill /f /im thunderbird.* & taskkill /f /im oracle.* & taskkill /f /im excel.* & taskkill /f /im onenote.* & taskk
netsh firewall set opmode disable
"C:\WINDOWS\system32\cmd.exe" /C net stop DbxSvc & net stop OracleXETNSListener & net stop OracleServiceXE & net stop AcrSch2Svc & net stop AcronisAgent & net stop Apache2.4 & net stop SQLWriter & net stop MSSQL$SQLEXPRESS & net stop MSSQLServerADHelper100 &
"C:\WINDOWS\system32\cmd.exe" /C powershell.exe -e
RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB
"C:\WINDOWS\system32\cmd.exe" /C vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default}
bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wbadmin delete systemstateb
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
wbadmin delete backup
---
➤ Содержание записки:
DENIZ KIZI
Hello!
We encrypted your data, which we consider important in your system.
We would like you to know that you cannot recover your data with the usual data recovery methods.
However, if you want to use data recovery companies or programs,
please take action on your copies and not on your original files.
Corruption of the actual files can cause irreversible damage to your data.
The originals of your encrypted files have been deleted using the random data writing technique on them.
Your disks are encrypted with Full disk encryption Unauthorized interference causes permanent data loss!
If you give money, don"t believe the computerists who say they won"t open it
or the people around you who say they don"t give you their files.
I have enough references to give you confidence.
I don"t know about you, so there is no point in having bad feelings for you and doing evil to you, my goal is just to earn income from this business.
Payment is made with Bitcoin.
You can find out what is Bitcoin here : https://simple.wikipedia.org/wiki/Bitcoin
After your payment, I will make a special decoder for you to restore your data as soon as possible and I will send it to you by mail, but of course you need to contact us by mail and send us your ID.
The decryption tool costs $950.
If you return within 24 hours, you will pay $100.
If the payment is not made within 3 days, the password used on your computer will be deleted from our server.
You can contact us through the communication channel below to make the payment and decrypt your data.
When you want to reach, do not forget to add the ID produced specifically for you below.
Contact:
ID: 3OpMU95uMLci***
E-Mail: yardimail1@aol.com
---
Кроме того используется изображение @Adsız@.jpg с короткой надписью, заменяющее обои Рабочего стола. Оно сообщает о том, что нужно прочитать файл Please Read ME!!!.log, имеющий .log-расширение, непривычное для записок вымогателей, но легко открываемое с помощью стандартного Блокнота.
Обновление от 18 февраля 2020:
Пост в Твиттере >>
Расширение: .Deniz_Kizi
Составное расширение: .[paymentbtc@yahoo.com].Deniz_Kizi
Записка: Please Read ME!!!.log
Email: paymentbtc@yahoo.com
URL: ba97b047bd6aa1e4f76f84fd6ec96bd8.gq
Сумма выкупа: за 24 часа - $100, а после - $980. На все - 4 дня.
Файл: Starter.exe
Результаты анализов: VT + AR + IA
https://www.virustotal.com/gui/file/2ed247525c8180acd9912e87c25622554908d827478f5
---
Изображение @Adsız@.jpg с короткой надписью, заменяющее обои Рабочего стола.
Записка Please Read ME!!!.log, с тем же текстом что и в обновлении от 14 февраля.
Различия: в заголовке нет надписи DENIZ KIZI, в контакте указан другой email, сумма выкупа через сутки - $980, время на уплату выкупа - 4 дня.
---
➤ Дополнительная информация, которой не было в обновлении от 14 февраля 2020.
Список файловых расширений (в нижнем и верхнем регистре):
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .apk, .as, .as3, .asf, .asp, .asx, .avi, .bat, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtb, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip,
.3DM, .3G2, .3GP, .7ZIP, .AAF, .ACCDB, .AEP, .AEPX, .AET, .AI, .AIF, .APK, .AS, .AS3, .ASF, .ASP, .ASX, .AVI, .BAT, .BMP, .C, .CLASS, .CPP, .CS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTB, .DWG, .DXF, .EFX, .EPS, .FLA, .FLV, .GIF, .H, .IDML, .IFF, .INDB, .INDD, .INDL, .INDT, .INX, .JAR, .JAVA, .JPEG, .JPG, .JS, .M3U, .M3U8, .M4U, .MAX, .MDB, .MID, .MKV, .MOV, .MP3, .MP4, .MPA, .MPEG, .MPG, .MSG, .PDB, .PDF, .PHP, .PLB, .PMD, .PNG, .POT, .POTM, .POTX, .PPAM, .PPJ, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PREL, .PRPROJ, .PS, .PSD, .PY, .RA, .RAR, .RAW, .RB, .RTF, .SDF, .SES, .SLDM, .SLDX, .SQL, .SVG, .SWF, .TIF, .TXT, .VCF, .VOB, .WAV, .WMA, .WMV, .WPD, .WPS, .XLA, .XLAM, .XLL, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XQX, .XQX, .ZIP
© Amigo-A (Andrew Ivanov): All blog articles.
---
➤ Дополнительная информация, которой не было в обновлении от 14 февраля 2020.
Список файловых расширений (в нижнем и верхнем регистре):
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .apk, .as, .as3, .asf, .asp, .asx, .avi, .bat, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtb, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip,
.3DM, .3G2, .3GP, .7ZIP, .AAF, .ACCDB, .AEP, .AEPX, .AET, .AI, .AIF, .APK, .AS, .AS3, .ASF, .ASP, .ASX, .AVI, .BAT, .BMP, .C, .CLASS, .CPP, .CS, .CSV, .DAT, .DB, .DBF, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTB, .DWG, .DXF, .EFX, .EPS, .FLA, .FLV, .GIF, .H, .IDML, .IFF, .INDB, .INDD, .INDL, .INDT, .INX, .JAR, .JAVA, .JPEG, .JPG, .JS, .M3U, .M3U8, .M4U, .MAX, .MDB, .MID, .MKV, .MOV, .MP3, .MP4, .MPA, .MPEG, .MPG, .MSG, .PDB, .PDF, .PHP, .PLB, .PMD, .PNG, .POT, .POTM, .POTX, .PPAM, .PPJ, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PREL, .PRPROJ, .PS, .PSD, .PY, .RA, .RAR, .RAW, .RB, .RTF, .SDF, .SES, .SLDM, .SLDX, .SQL, .SVG, .SWF, .TIF, .TXT, .VCF, .VOB, .WAV, .WMA, .WMV, .WPD, .WPS, .XLA, .XLAM, .XLL, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XQX, .XQX, .ZIP
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: CyberSecurity GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.