Если вы не видите здесь изображений, то используйте VPN.

среда, 2 сентября 2020 г.

Leakthemall

Leakthemall Ransomware

Aliases: LeakThemAll, LeakTheMall

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью инструмента шифрования Lockdown, а затем требует связаться с вымогателями, что заплатить за ключ дешифрования и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: win.exe. Для Windows x64. Написан на языке Go. Разработчик (пользователь ПК): Amir. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32463
BitDefender -> Trojan.GenericKD.43776492
ESET-NOD32 -> Win64/Filecoder.CE
Kaspersky -> Trojan-Ransom.Win32.Crypren.ahfl
Malwarebytes -> Ransom.FileCryptor
Symantec -> Downloader
TrendMicro -> Ransom_Crypen.R002C0DI520
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: 
неизвестный код > LeakTheMall
 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:
Hello
IF YOU ARE READING THIS, IT MEANS YOUR DATA IS ENCRYPTED AND YOUR PRIVATE SENSIVITIVE INFORMATION WAS STOLEN!
READ CAREFULLY THE WHOLE INSTRUCTIONS TO AVOID PROBLEMS WITH YOUR DATA
YOU HAVE TO CONTACT US IMMEDIATELY TO RESOLVE THIS ISSUE AND MAKE A DEAL!
!!!WARNING!!!
DO NOT Modify, Rename, Copy or Move any file. You can DAMAGE them and decryption will be impossible!
DO NOT Use any third-party or public decryption software, it also may DAMAGE files.
DO NOT SHUTDOWN or RESET your system, it can damage files.
There is ONLY ONE possible way to get back your files
Do not waste your time, contact us and pay for special DECRYPTION KEY. The key is all you need.
For your guarantee we will decrypt 2 of your files for free, as a proof that it works.
Your network was fully COMPROMISED! We Can discuss how to secure it as a bonus.
The data that we gathered could be published in MASS MEDIA for BREAKING NEWS!
If we make a deal everything would be kept in secret and all your data will be restored.
I could make them public them if you decide not to pay.
contact us immediately:
leakthemall@protonmail.com

Перевод записки на русский язык:
Привет
ЕСЛИ ВЫ ЧИТАЕТЕ ЭТО, ЗНАЧИТ ВАШИ ДАННЫЕ ЗАШИФРОВАНЫ И ВАША ЧАСТНАЯ ИНФОРМАЦИЯ УКРАДЕНА!
ВНИМАТЕЛЬНО ПРОЧИТАЙТЕ ВСЕ ИНСТРУКЦИИ, ЧТОБЫ ИЗБЕЖАТЬ ПРОБЛЕМ С ВАШИМИ ДАННЫМИ
ВЫ ДОЛЖНЫ СВЯЗАТЬСЯ С НАМИ НЕМЕДЛЕННО, ЧТОБЫ РАЗРЕШИТЬ ЭТОТ ВОПРОС И ЗАКЛЮЧИТЬ СДЕЛКУ!
!!!ПРЕДУПРЕЖДЕНИЕ!!!
ЗАПРЕЩАЕТСЯ изменять, переименовывать, копировать и перемещать какие-либо файлы. Вы можете их ПОВРЕДИТЬ и расшифровка будет невозможна!
НЕ ИСПОЛЬЗУЙТЕ сторонние или общедоступные программы для дешифрования, они также могут ПОВРЕДИТЬ файлы.
НЕ ВЫКЛЮЧАЙТЕ и НЕ ПЕРЕЗАГРУЖАЙТЕ систему, это может повредить файлы.
Есть ТОЛЬКО ОДИН способ вернуть свои файлы
Не теряйте время, свяжитесь с нами и оплатите специальный КЛЮЧ ДЕШИФРОВАНИЯ. Ключ - это все, что вам нужно.
Для вашей гарантии мы бесплатно расшифруем 2 ваших файла как доказательство того, что это работает.
Ваша сеть полностью СКОМПРОМИТИРОВАНА! Мы можем обсудить, как обезопасить её, как бонус.
Собранные нами данные могут быть опубликованы в СМИ для ГЛАВНЫХ НОВОСТЕЙ!
Если мы заключим сделку, все будет в секрете и все ваши данные будут восстановлены.
Я могу обнародовать их, если вы не заплатите.
срочно напишите нам:
leakthemall@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Согласно сообщению исследователя вредоносных программ xiaopao, вместо шифрования файлы повреждаются и получают размер 0 Kb. 

Файлы, связанные с этим Ransomware:
ReadMe.txt  - название файла с требованием выкупа
win.exe - название вредоносного файла
Использует Lockdown и MemGuard 
 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: leakthemall@protonmail.com
BTC: - 
Github-URL: hxxxs://github.com/raz-varren/lockdown
Github-URL:  hxxxs://github.com/awnumar/memguard
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

??? Обновление от 19 сентября 2020:
Расширение: .montana
Email: montanarecover@aol.com, montanarecover@cock.li
Записка: !HELP!.txt
!!! На самом деле это обновление является вариантом BeijingCrypt Ransomware



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Leakthemall)
 Write-up, Topic of Support
 * 
 Thanks: 
 M. Shahpasandi, Michael Gillespie
 Andrew Ivanov (author)
 xiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Conti-2, Conti-3

Conti-2 Ransomware

Conti-3 Ransomware

Aliases: IOCP, R3ADM3

Conti Doxware

***

Unnamed ContiStolen-based Ransomware

Different ContiStolen-cloned Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует файлы на серверах, сайтах и локальные сети компаний с помощью ChaCha20/8, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На загружаемом файле написано: IOCP.exe. Использует легитимную программу XColorPickerXPTest.exe для самоназвания. Фальш-название: XColorPickerXPTest. Фальш-копирайт: Copyright 2008 Hans Dietrich. Фальш-контакт: hdietrich@gmail.com. 
Через некоторое время выснилось, что это новая, 2-я версия Conti. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32468, Trojan.Encoder.32474, Trojan.Encoder.32490, Trojan.Encoder.32708, Trojan.Encoder.33199, Trojan.Encoder.33299, Trojan.Encoder.33482
BitDefender -> Gen:Variant.Zusy.312578, Trojan.GenericKD.43777841, A Variant Of Win32/Kryptik.HFYO, Gen:Variant.Cerbu.84170
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Conti
Avira (no cloud) -> TR/AD.ShellcodeCrypter.zkvgk, TR/Zenpak.cxhrx
ESET-NOD32 -> A Variant Of Win32/GenKryptik.EROG, Win32/Filecoder.NYJ, A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbl, Trojan-Ransom.Win32.Encoder.kbn, Trojan.Win32.Zenpak.avin
Malwarebytes -> Trojan.MalPack.TRE
McAfee -> GenericRXLW-TR!D4F2318BEEC5, Artemis!6F58A5472E3B
Rising -> Trojan.Zenpak!8.10372 (TFE:5:YOgaFs7jzLN), Trojan.Generic@ML.96 (RDML:HepTV26Jt*, Ransom.Conti!8.11736 (TFE:5:*
Symantec -> Trojan.Gen.MBT, Downloader, Trojan.Emotet
Tencent -> Win32.Trojan.Encoder.Wtne, Win32.Trojan.Filecoder.Wrgy
TrendMicro -> TROJ_GEN.R002H09I320, TROJ_GEN.R002C0DI620
---

© Генеалогия: Conti ⇒ 
Conti-2 (IOCP), Conti-3 > NB65 (ContiStolen)
Знак  здесь означает переход группы вымогателей на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{5}>

Примеры таких расширений: 
.COSWH
.UAKXC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Скриншот с одного из пострадавших сайтов. Дата шифрования файлов - 2 сентября 2020. 

Записка с требованием выкупа называется: R3ADM3.txt


Содержание записки о выкупе:
The network is locked do not try to use other software for decryption tool write here:
***email-1***@protonmail.com
***email-2***@protonmail.com
If you do not pay, we will publish private data on our news site. 

Перевод записки на русский язык:
Сеть блокирована, не пытайтесь использовать другие программы для дешифрования, пишите сюда:
***email-1***@protonmail.com
***email-2***@protonmail.com
Если вы не заплатите, мы опубликуем личные данные на нашем новостном сайте.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует PowerShell для начала атаки, в очередной раз подтверждая вредоносной этой технологии в составе Windows.

➤ Удаляет теневые копии файлов, используя WMIC.exe.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IOCP.exe - название вредоносного файла;
R3ADM3.txt - название файла с требованием выкупа;
file-tree.txt - список файлов;
<random>.exe - случайное название вредоносного файла;
XColorPickerXPTest.exe - файл, который выдает себя за полезную утилиту. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
169923hi23qw237721415d66
См. ниже результаты анализов.

Сетевые подключения и связи:
Сайт Conti News: hxxx://continewsnv5otx5kaoje7krkto2qbu3gtqef22mnr7eaxw3y6ncz3ad.onion.ly/


Email: fanlabomos1974@protonmail.com, eranndicuc1978@protonmail.com
Email: guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com
Email: elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT>
🐞 Intezer analysis >>  IA>  IA>  IA>
ᕒ  ANY.RUN analysis >>  AR> AR> 
ⴵ  VMRay analysis >>  VMR> VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.


➤ Дополнения из альтернативных статей-исследований: 
... Обычно хакеры-операторы Conti начинают свои атаки через спам-сообщения с прямой доставкой через бэкдор с помощью маяка Cobalt Strike. Целевые спам-кампании тщательно разрабатываются на основе выборочного исследования предполагаемой цели, негативных СМИ-сообщений о ней, их руководителях и сотрудниках. Эти кампании настроены так, чтобы гарантировать открытие спам-писем и запуск маяков Cobalt Strike... 
... Кража данных обычно осуществляется с помощью Rclone. Создается конфигурация Rclone и устанавливается внешнее расположение (например, MEGA или FTP) для синхронизации (клонирования) данных. Операторы Conti предпочитают данные на основе сетевых ресурсов, а конкретной целью являются документации, связанной с финансами, юриспруденцией, бухгалтерским учетом, страхованием и информационными технологиями...
... Хакеры-операторы Conti добиваются того, чтобы пострадавшая сторона не могла восстановиться, для этого они блокируют систему и резервные копии и следят за тем, чтобы резервные копии были удалены... 
---
Группа хакеров-вымогателей Conti заинтересовалась уязвимостью Log4Shell и протестировала возможности использования эксплойта в своих атаках. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Фактически это одно семейство, если можно так сказать. Но из-за изменений после первой версии получилось так, что в Дайджесте есть две статьи для ранней и для следующих версий. 
Conti Ransomware
Conti-2 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 сентября 2020: 
Расширение: .RHMLM
Записка: R3ADM3.txt
Email: carbedispgret1983@protonmail.com
glocadboysun1978@protonmail.com
Результаты анализов: VT + VMR


Вариант от 21 сентября 2020: 
Расширение: .UAKXC 
Записка: R3ADM3.txt


Email: guifullcharti1970@protonmail.com
phrasitliter1981@protonmail.com
Результаты анализов: VT + IA + AR


Вариант от 14 октября 2020: 
Расширение: .AWSAK
Записка: R3ADM3.txt
Email: maxgary777@protonmail.com, ranosfinger@protonmail.com
Результаты анализов: VT + VMR + IA 


 Обнаружения: 
DrWeb -> Trojan.Encoder.32708
BitDefender -> Generic.Ransom.Conti.57C16005
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.F
Kaspersky -> Trojan-Ransom.Win32.Encoder.kbq
TrendMicro -> Ransom.Win32.CONTI.SMW


Вариант от 19-20 октября 2020: 
Случайное расширение (пример): .TJODT 
Записка: R3ADM3.txt


Мьютекс: lslaif8aisuuugnzxbvmdjk
URL: hxxxs://contirecovery.info/
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion

 

Текст на сайте:
CONTI recovery service
HOW I GOT HERE?
If you are looking at this page right now, that means that your network was succesfully breached by CONTI team.
All of your files, databases, application files etc were encrypted with military-grade algorithms.
If you are looking for a free decryption tool right now - there's none.
Antivirus labs, researches, security solution providers, law agencies won't help you to decrypt the data.
If you are interested in out assistance upon this matter - you should upload README.TXT file
to be provided with further instructions upon decryption.
---
Результаты анализов: VT + VMR + JSB + IA // VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32888
ALYac -> Trojan.Ransom.Conti
Avira (no cloud) -> TR/Crypt.Agent.kuuyw
BitDefender -> Trojan.GenericKD.34820886
ESET-NOD32 -> A Variant Of Win32/Kryptik.HGUR
Rising -> Trojan.Kryptik!1.CD97 (CLASSIC)
Symantec -> Trojan.Gen.2
TrendMicro -> TROJ_GEN.R002H06JJ20


Вариант от 4 декабря 2020: 
Расширение: .SYTCO 
Записка: readme.txt
niggchiphoter1974@protonmail.com
Результаты анализов: VT + VMR 



Вариант от 8-9-13 декабря 2020: 
Расширения: .TJMBK, .FBSYW, .KCWTT
Записка: readme.txt
Результаты анализов: VT + VT + VT


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33199, Trojan.Encoder.33299
ALYac -> Trojan.Ransom.Conti
ESET-NOD32 -> A Variant Of Win64/Kryptik.CEF, A Variant Of Win32/Kryptik.HHYB, Win32/Filecoder.Conti.F
Malwarebytes -> Ransom.Conti
TrendMicro -> TrojanSpy.Win32.EMOTET.TIOIBOLH, TrojanSpy.Win32.EMOTET.SMD4.hp, Ransom_Encoder.R011C0PLC20


Вариант от 11 декабря 2020:
Версия: v3
Файл проекта: "A:\source\conti_v3\x64\Release\cryptor_dll.pdb"
Текст: "Аll оf уоur filеs аrе currеntlу еncrуptеd bу CОNTI strаin." 
Скриншот от исследователя. 




Вариант от 20 декабря 2020:
Расширение: .KLZUB
Штамп даты: 30 октября 2020:
Email: limistocon1980@protonmail.com
Записка: R3ADM3.txt
Результаты анализов: VT + IA + VMR


=== 2021 ===

Вариант от 22 января 2021:
Расширение: .MBRNY
Записка: readme.txt
URL: hxxxs://contirecovery.best
Tor-URL: hxxx://contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion/
Результаты анализов: VT + AR




Вариант от 1 февраля 2021: 
Расширение: .EXTEN
Записка: readme.txt
Результаты анализов: VT + VT


Вариант от 3 февраля 2021: 
Расширение: .PVVXT
Записка: readme.txt
Tor-URL: hxxx://m232fdxbfmbrcehbrj5iayknxnggf6niqfj6x4iedrgtab4qupzjlaid.onion
URL: hxxxs://contirecovery.info 
Результаты анализов: AR + VT



Вариант от 16 февраля 2021: 
Расширение: .ANCIF
Записка: readme.txt


Результаты анализов: VT + IA + VMR + JSB
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33482
ALYac -> Trojan.Ransom.Conti
BitDefender -> Trojan.GenericKD.45742277
Microsoft -> Trojan:Win32/Ymacco.AAA5
TrendMicro -> Trojan.Win32.MALREP.THBAGBA


Вариант от 25 апреля 2021:
Расширение: .GFYPK
Записка: readme.txt
Результаты анализов: VT + HA




Вариант от 26 апреля 2021:
Расширение: .ALNBR
Записка: readme.txt
URL: contirecovery.top
Tor-URL: contirecj4hbzmyzuydyzrvm2c65blmvhoj2cvf25zqj2dwrrqcq5oad.onion
Результаты анализов: VT + HA




Вариант от 3 мая 2021: 
Расширение: .HJAWF
Файл: EAGLE.dll
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33892
BitDefender -> Gen:Variant.Razy.844481
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.P


Вариант от 3 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33949
BitDefender -> Trojan.GenericKD.36860772
ESET-NOD32 -> Win32/Filecoder.Conti.R


Вариант от 21 мая 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34231
BitDefender -> Gen:Variant.Ransom.Conti.19
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N


Вариант от 16 сентября 2021: 
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34529 - Conti Ransomware+ 
BitDefender -> Gen:Variant.Razy.844459
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.N

Вариант от 31 октября 2021:
Расширение: .BFVEY 
Записка: readme.txt
URL: contirecovery.ws
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34469
BitDefender -> Trojan.GenericKD.37916051
ESET-NOD32 -> A Variant Of Generik.MIUFNQB



=== 2022 ===

Новость от 25 февраля 2022:
Группа Conti Ransomware официально заявила о своей лояльности правительству России и пригрозила атаковать любого, кто решит организовать кибератаку или какую-либо военную деятельность против России. 

---
Потом они изменили текст на нижеследующий. 



Новости марта-апреля 2022: 
Среди вымогателей из группы Conti обнаружился ренегат, который выкрал исходный код одного из вариантов Conti Ransomware и слил его другим кибер-преступникам. На его основе группа украинских хакеров-вымогателей, называющая себя NB65, выпустила NB65 Ransomware

Новость от 15 апреля 2022:
Исследователи выявили связь между Conti Ransomware, Diavol Ransomware и Karakurt

Новость от 19 мая 2022:
Официальный сайт Conti Ransomware закрыт. 
СМИ сообщают о закрытии этого вымогательского проекта. 
Подразделения Conti могут разделиться на более мелкие части и действовать отдельно. 

*** пропущенные варианты ***


Unnamed ContiStolen-based Ransomware

Кто-то стал использовать украденный код Conti-2-3 для проведения собственных вымогательских атак. Есть сведения, что среди них есть украинские хакеры. 

Некоторые группы вымогателей запустили:
Потом они объединились в новых вариантах Meow Ransomware.

Ниже добавлены другие очень похожие варианты, которые тем не менее, я просто оставляю тут. 

Вариант от 8 июля 2022:
Расширение: .RUBEN
Записка: readme.txt
Содержание записки:
Все файлы зашифрованы!  
Свяжись в Telegram @gary_stone чтобы восстановить файлы
Номер: 913******         



Вариант от 18 августа 2022 года:
Расширение: .TOK12
Записка: readme.txt
Telegram: @wilden123
Email: tokaev123@proton.me
Файл: cryptor.exe 
Содержание записки: 
Файлы были зашифрованы. 
Свяжись с нами в Telegram @wilden123 или на почте tokaev123@proton.me
Ваш уникальный номер: 5w6*****



Вариант от 26 сентября 2022:
Сообщение: twitter.com/pcrisk/status/1575445295139266560
Расширение: .T_TEN
Записка: readme.txt
IOC: VT: ad797bd222cddd6aee89937bccdf0544 
Обнаружения: 
DrWeb -> Trojan.Encoder.35972
ESET-NOD32 -> A Variant Of Win64/Filecoder.GB
Kaspersky -> Trojan-Ransom.Win32.Conti.ab


*** пропущенные однотипные варианты ***


Вариант от 3 апреля 2023 или раньше: 
Расширение: .met@n
Записка: README.txt
Telegram: @MetanFiles
Результаты анализов: VT + IA + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.37433
BitDefender -> Gen:Variant.Midie.120073
ESET-NOD32 -> A Variant Of Win32/Filecoder.Conti.K
Kaspersky -> HEUR:Trojan.Win32.Scar.vho
Microsoft -> Ransom:Win32/Conti.AD!MTB
Rising -> Ransom.Conti!1.DF1E (CLASSIC)
TrendMicro -> Ransom.Win32.CONTI.SMYXBBU






Different ContiStolen-cloned Ransomware

Вариант от 8 декабря 2022: 
Самоназвание: Amelia Ransomware V1.61
Расширение: .Amelia
Записка: R3ADM3.txt
Email: Amelia@cyberfear.com, Amelia@onionmail.org






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Conti)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, GrujaRS, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *