Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 16 февраля 2020 г.

Mew767

Mew767 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на языке Go.

Обнаружения:
DrWeb -> Trojan.Encoder.31061
ALYac -> Trojan.Ransom.Snatch
BitDefender -> DeepScan:Generic.Ransom.Snatch.*
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Tencent -> Win32.Trojan.Crypren.Huqh
Symantec -> ML.Attribute.HighConfidence, Backdoor.Ratenjay
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия:  другие Golang ransomware > Mew767
Mew767 Ransomware logo
Изображение — логотип статьи (покемон Mew)

К зашифрованным файлам добавляется расширение: .mew767

Фактически используется составное расширение по шаблону: 
_ID_XXXXXXXXXX_(X)_<email>.mew 767
_ID_XXXXXXXXXX_(X)_infectionplex@cock.li.mew767

Примеры зашифрованных файлов:
desktop.ini_ID_1960537927_(C)_infectionplex@cock.li.mew767
desktop.ini_ID_3558573852_(C)_infectionplex@cock.li.mew767


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовой записки с требованием выкупа не было обнаружено. Хотя, согласно отчету из Hybrid analysis, должна быть примерно такая: 
_ReadMe_.txt_ID_1960537927__C__infectionplex@cock.li.mew767

Возможно, что-то изменится в новых версиях...

Информатором жертвы и запиской с требованием выкупа выступает экран блокировки, который одновременно является и инструментом расшифровки: 
Mew767 Ransomware screen

Содержание текста с экрана:
Hello,
your files have been encrypted! To return the files, message us at infectionplex@cock.li
Please type us your ID: 1960537927
Insert key here:
***
[Go]
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.

Перевод текста на русский язык:
Привет,
Ваши файлы были зашифрованы! Чтобы вернуть файлы, отправьте нам сообщение на infectionplex@cock.li
Пожалуйста, введите нам свой ID: 1960537927
Вставьте ключ здесь:
***
[Go]
Внимание!!! Не пытайтесь восстановить файлы самостоятельно, вы их повредите и восстановление с нашим ключом станет невозможным.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_ReadMe_.txt_ID_1960537927__C__infectionplex@cock.li.mew767
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: infectionplex@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw +Tw + myTweet
 ID Ransomware (ID as Mew767)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 15 февраля 2020 г.

PhantomChina

Phantom Ransomware

PhantomChina Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go.

Обнаружения:
DrWeb -> 
BitDefender -> 
ALYac -> 
ESET-NOD32 -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Phantom (PhantomChina)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .phantom

В другом варианте используется случайное расширение с 7 hex-символами в нижнем регистре: .<hex_random{7}>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на середину января, первый образец был найден в середине февраля 2020 г. Потом нам попадались случаи в мае, июле. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !How_To_Decrypt_My_File_如何解密我的文件.hta



Содержание записки о выкупе:
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度, 付*后, 我们将向您发送解密工具, 并协助您解密所较件!
我们支持解密测试!
• 诚信是我们的原则!
• 在付絞之前, ***
***
中文 English
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度 , 付款后 , 我们将向您发送解密工具 , 并协助您解密所有文件 !
我们支持解密测试 !
• 诚信是我们的原则 !
• 在付款之前 , 您可以向我们发送测试文件 , 证明我们有能力恢复您的数据 (完好无损) !
注意 !
• 请勿 (编辑 删除 重命名 更改后缀名) 文件 , 否则不可恢复 !
• 我们没有第三方合作 , 除了我们无人能解 !
• 不要试图使用第三方软件 (恢复 解密) 您的数据 , 这可能会导致数据永久损坏 !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-----------------------------------------------------------------------------------
If you want to restore them, write us to the e-mail: pianist6@protonmail.com
Write this Your ID in the body of your message
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption test as guarantee !
Integrity is our principle!
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
Attention !
Do not rename encrypted files !
Do not try to decrypt your data using third party software, it may cause permanent data loss !
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***

Перевод записки на русский язык:
Китайский Английский
Отправьте свой ID на pianist6@protonmail.com
Цена зависит от того, как быстро вы напишите нам, после оплаты мы вышлем вам инструмент дешифрования и поможем расшифровать все файлы!
Мы поддерживаем тест-расшифровку!
• Честность - наш принцип!
• Перед оплатой вы можете отправить нам файл для теста, чтобы доказать, что мы можем восстановить ваши данные (без изменений)!
Внимание!
• Не редактируйте, не удаляйте, не переименовывайте файл, не изменяйте расширение, иначе он не может быть восстановлен!
• У нас нет сотрудников на стороне, никто, кроме нас, не может решить эту проблему!
• Не пытайтесь использовать сторонние программы для восстановления и дешифрования ваших данных, это может привести к необратимому повреждению данных!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-------------------------------------------------- ---------------------------------
Китайский Английский
Если вы хотите их восстановить, напишите нам на email: pianist6@protonmail.com
Напишите этот Ваш ID в теле сообщения
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам дешифратор, который расшифрует все ваши файлы.
Бесплатная проверка расшифровки как гарантия!
Честность - наш принцип!
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов не должен превышать 2 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Внимание!
Не переименовывайте зашифрованные файлы!
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных!
Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они прибавляют свой гонорар к нашему) или вы можете стать жертвой мошенничества!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Скриншоты от исследователя вредоносных программ Vitali Kremez:



➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления, отключает загрузку безопасного режима Windows на этапе загрузки командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default) bootstatuspolicy ignoreallfailures
Willie SHADOWCOPY DELETE
vssadiru.n delete shadows /All /Quiet



➤ Использует утилиту Sdelete для очистки свободного места после шифрования файлов и удаления оригинальных файлов с ПК. 


 В папке, из которой шифровальщик запускается, он создает Encrypt-list.txt (список зашифрованных файлов), fali_log.txt (список пропускаемых файлов) и .bat-файл.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!How_To_Decrypt_My_File_如何解密我的文件.hta - название текстового файла; 
恢复数据-<random{7}>.html - другая записка с 7 знаками из расширения; 
Encrypt-list.txt - список зашифрованных файлов; 
fali_log.txt - список пропускаемых файлов; 
.bat-файл; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pianist6@protonmail.com 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 июня 2022: 
Расширение: .id
Записка: How_To_Decrypt_My_File_.hta
Email: shellcode7@mailfence.com, shellcode7@proton.me 









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as PhantomChina)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Vitali Kremez, xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 13 февраля 2020 г.

Rentyr, Com

Rentyr Ransomware

Aliases: Com, PollerYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Com.exe, Rentyr.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31009
BitDefender -> Gen:Variant.Barys.53380
Symantec -> ML.Attribute.HighConfidence
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Rentyr Ransomware
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется.

Этимология названия:  
Слово Rentyr напоминает слово Rentier (англ. "рантье") и в русском произношении звучит как Rentyr [рентир, рентыр]. Оно также близко по звучанию к слову "ориентир". Текст вымогатели написали на английском и русском. Русский вариант отличается от английского содержанием и словесными оборотами. Также есть опечатка, которая невозможна при переводе. Также не соблюдается пунктуация, а это тоже ошибки. Если вымогатели не дали своему "творению" названия, автор статьи или исследователь волен назвать это "чудо" по своему усмотрению. В таком случае слова "Rentyr" и "Com" могут использоваться как названия. Из этих двух слов более уникальным является "Rentyr". Получите и распишитесь! 
Rentyr Ransomware



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину февраля 2020 г. Дата компиляции: 12 февраля 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read-me22.txt
Rentyr Ransomware

Rentyr Ransomware

Содержание записки о выкупе:
All your files have been encrypted
Photos, documents, videos, music and other
And shadow copies of files were deleted, so it is impossible to restore them with special programs and contacting specialists
Only we have a decoder
If you want to quickly return your files, you will have to pay us $100.
You have 2 days from the moment of encryption to pay $100 (which is approximately equal to 0.011 BITCOIN)
On day 3, the decryption will become impossible, alas. And you will lose your files forever!
Transfer the required amount to this BTC wallet
bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
or this
bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw
What is BITCOIN, you can find out here, insert the link in the address bar of your browser:
https://en.wikipedia.org/wiki/Bitcoin
How to buy BITCOIN, see here: https://www.youtube.com/watch?v=eXqQt5nR7gk
After payment write to the mail: polleryou1@ctemplar.com or decrypter0203@gmail.com
indicating the time of payment and we will send you the decoder.
And remember, you only have 2 days to pay.
---
Все ваши файлы были зашифрованы
Фотографии, документы, видео, музыка и другое
А теневые копии файлов были удалены, поэтому восстановить их специальными программами и обращенимя к специалистам - невозможно
Только у нас есть дешифратор
Если вы хотите быстро вернуть свои файлы, вам придется заплатить нам 100$.
У вас есть 2 дня с момента шифрования чтобы заплатить 100$ (что приблизительно равняется 0,011 BITCOIN).
На 3 день расшифровка станет невозможной, увы. И вы навсегда потеряете свои файлы!
Переведите нужную сумму на этот BTC кошелек
bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
или этот
bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw
Что такое BITCOIN, вы можете узнать здесь, вставьте ссылку в адресную строку вашего браузера:
https://ru.wikipedia.org/wiki/%D0%91%D0%B8%D1%82%D0%BA%D0%BE%D0%B9%D0%BD
Как купить BITCOIN, смотрите здесь: https://www.youtube.com/watch?v=iUfvsCLhTMU
После оплаты пишите на почту: polleryou1@ctemplar.com или decrypter0203@gmail.com
Указывая время платежа и мы отправим вам дешифратор
И помните, у вас только 2 дня на оплату

Перевод записки на русский язык:
уже сделан вымогателями



Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 
Rentyr Ransomware

All your files have been encrypted!
Photos, documents, videos, music and other
If you want to quickly return your files, you will have to pay us $100 to Bitcoin wallet within 2 days
More info in your desktop in file «Read-me22.txt»
Contact Email: polleryou1@ctemplar.com or decrypter0203@gmail.com
---
Все ваши файлы были зашифрованы!
Фотографии, документы, видео, музыка и другие
Если вы хотите быстро вернуть свои файлы, вам придется заплатить 100$ на Bitcoin кошелек в течении 2 дней
Больше информации на вашем рабочем столе в файле «Read-me22.txt»
Почта для связи: polleryou1@ctemplar.com or decrypter0203@gmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read-me22.txt - название текстового файла
l.bat - некий командный файл
1.jpg - изображение заменяющее обои Рабочего стола
Com.exe, Rentyr.exe - один и тот же исполняемый файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: polleryou1@ctemplar.com, decrypter0203@gmail.com
BTC-1: bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
BTC-2: bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw


 

На момент написания статьи никто не заплатил выкуп на эти BTC-кошельки. 

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ScammerLocker Py

ScammerLocker Py Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ScammerLocker. На файле написано: scammerlocker.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.7
BitDefender -> Trojan.Ransom.PyCL.F
ESET-NOD32 -> Python/Filecoder.DJ
Microsoft -> Trojan:Win32/Wacatac.C!ml
Symantec -> Ransom.Wannacry
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: предыдущие Python-вымогатели >> ScammerLocker Py


ScammerLocker Ph Ransomware
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется или не было добавлено в рамках исследовательской сессии.  


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком FILES ARE ENCRYPTED
ScammerLocker Ph Ransomware

Содержание текста о выкупе:
ALL OF YOUR IMPORTANT FILES ARE ENCRYPTED
User:User
IP: ******
ID#:873069
CURRENT TIME:2020-02-16 16:42:59.870272
Contact salbom.smtp@gmail.com for decryption key

Перевод текста на русский язык:
ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Пользователь:User
IP:******
ID#:873069
ТЕКУЩЕЕ ВРЕМЯ:2020-02-16 16: 42: 59.870272
Пиши salbom.smtp@gmail.com для ключа расшифровки



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
scammerlocker.exe - загруженный исполняемый файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Python\PythonCore\3.7\PythonPath
HKEY_CURRENT_USER\Software\Python\PythonCore\3.7\PythonPath
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: salbom.smtp@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *