Если вы не видите здесь изображений, то используйте VPN.

среда, 13 января 2021 г.

CNH, CNHelp

CNHelp Ransomware

Aliases: CNH, ChinaHelper

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует написать на email, что узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. Использован язык программирования RUST. Для Windows x64 систем. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33411, Trojan.Encoder.33484
BitDefender -> Trojan.GenericKD.45588801, Trojan.GenericKD.45457808
Avira (no cloud) -> TR/Redcap.ppfuv, TR/FileCoder.pyvoq
ESET-NOD32 -> A Variant Of Generik.JBWWFIT, Win64/Filecoder.DC
Kaspersky -> Trojan.Win32.Bingoml.acxz, Trojan-Ransom.Win32.Crypmod.adps
Malwarebytes -> Ransom.FileCryptor, Ransom.FileLocker
Microsoft -> Trojan:Win32/Ymacco.AA2A, Trojan:Win32/Filecoder!MSR
Qihoo-360 -> Win32/Trojan.ac7, Win32/Ransom.Filecoder.H8oANFsA
Rising -> Trojan.Bingoml!8.1226A (CLOUD), Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Ehib, Win32.Trojan.Crypmod.Phqd
TrendMicro -> TROJ_GEN.R002C0WAO21, Ransom_Crypmod.R002C0PAG21
---

© Генеалогия: Ransomnix >> CNH

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cnh
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: README.txt


Содержание записки о выкупе:

Hello.
If you want back your files write to: helper.china@aol.com
Your ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw
+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]

Перевод записки на русский язык:
Привет.
Если хотите вернуть файлы, пишите: helper.china@aol.com
Ваш ID: n/QJMEGxceL7nGsO2RkkaYL5/pFw9BtuRmu80jN0H7onxgz0aXv4z+3SlUt2mw
+phd/GwWDN4WKyiOztTLGIv+3r25VHw9FV4SHLPykdoFMflCT5mCg+/NtvKzlEWC*** [всего 684 знака]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt

Скриншоты от исследователя:



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helper.china@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 февраля 2021: 
Расширение: .cnhelp
Записка: HOW_TO_RETURN_FILES.txt
Стали использовать текст записки от Ransomnix-Charm с расширением .charm
Email: helper.china@aol.com
Результаты анализов: VT + HA + IA + TG







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as CNHelp)
 Write-up, Topic of Support
 * 
 Thanks: 
 0x4143, Michael Gillespie, xXToffeeXx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или как-то иначе модифицирует данные на NAS-устройствах и сетевых хранилищах, а затем требует выкуп в 0.01 - 0.02 BTC или более, чтобы вернуть файлы. Оригинальное название: в записке не указано. Вымогатели действуют из Румынии. Регистрируют легальную IT- или Recovery- компанию, службу удаленной помощи или разработку ПО на заказ, и под их вывеской занимаются различным компьютерным вымогательством. Такой "бизнес" распространен в Румынии повсеместно. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: ??? >> NAS_Data_Compromiser

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes или любое другое, вполне безобидное. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый пострадавший, который сообщил об атаке, был из Турции. 

Записка с требованием выкупа называется: READ ME.txt


Содержание записки о выкупе: 
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED. 
ALL YOUR FILES AND FOLDERS WERE ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.02 BITCOIN TO THIS BITCOIN WALLET:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
YOU HAVE UNTIL THE 15th OF JANUARY 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xx.xx.xxx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 
filerecovery@mail2save.com
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, DELETE THE VOLUME OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security

Перевод записки на русский язык: 
Привет!
Ваше удаленное хранилище было взломано.
Все ваши файлы и папки зашифрованы и скрыты.
Если вы хотите восстановить свои файлы, вы должны отправить 0,02 биткойна на этот биткойн-кошелек:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
Вы должны произвести оплату до 15 января 2021 года.
После этого восстановить ваши данные будет практически невозможно.
Ваш уникальный ID: xxx.xx.xx.xxx
Отправьте нам свой ID и подтверждение платежа по email на адрес:
filerecovery@mail2save.com
После подтверждения оплаты вы получите инструкции, как восстановить все ваши файлы.
Внимание !!!
Не удаляйте файлы на вашем диске.
Не пытайтесь восстановить ваши данные с помощью какой-то программы. Это навсегда повредит данные.
Не форматируйте, не удаляйте том и не записывайте данные на диск. Это навсегда повредит данные.
Это не бот
Спасибо за сотрудничество.
Безопасность данных



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
_bca3 - файл, найденный на NAS-устройстве (около 72 Мб);
lopiy4356rs23fh8o745r67ds23a - файл, найденный на NAS-устройстве (около 100 Мб).

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 декабря 2021 или раньше:
Сообщение на форуме >>
Расширение: .aes
Записка: READ ME.txt
Email: secur_it@zohomail.eu
BTC: 1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz


➤ Содержание записки: 
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED. 
ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.01 BITCOIN TO THIS BITCOIN WALLET:
1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz
YOU HAVE UNTIL THE 30th of OCTOBER 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xxx.xxx.xx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 
secur_it@zohomail.eu
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, ADD OR DELETE VOLUMES OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as NAS Data Compromiser)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 10 января 2021 г.

PulpFictionQuote

PulpFictionQuote Ransomware

Jet100 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: RansomEXX ??? >> PulpFictionQuote

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<domain_name>
.<company_name>
.<abbreviated_company_name>
.<org_name> 

В изученном случае файлы получили расширение: .vkm1297


В конце зашифрованных файлов содержатся обрывки монолога одного из героев фильма "Pulp Fiction" ("Криминальное чтиво"), который цитирует слова из Книги Иезекииля (Ezekiel 25:17). В каждом файле текст меняется полностью или частично. Вот скриншоты из трёх разных зашифрованных файлов, объединённые в одно изображение. 


Цитируемая фраза полностью.  

The path of the righteous man is beset on all sides by the iniquities of the selfish and the tyranny of evil men. Blessed is he, who in the name of charity and good will, shepherds the weak through the valley of darkness, for he is truly his brother's keeper and the finder of lost children. And I will strike down upon thee with great vengeance and furious anger those who would attempt to poison and destroy my brothers. And you will know my name is the Lord when I lay my vengeance upon thee.

Этимология названия:
Так как вымогатели никак не назвали свою вредоносную программу и не сообщили никаких данных, по которым их можно было назвать, кроме email, то я использовал характерный элемент вымогателя, о котором написал выше и назвал его PulpFictionQuote - "цитата из PulpFiction". Логин из email Jet100, по традиции, поставил как второе название. Расширение в данном примере использовать некорректно, т.к. оно у всех индивидуальное. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января 2021 г. Ориентирован на русскоязычных пользователей, но вполне может распространяться по всему миру. Первым пострадавшим был сайт из России. 

Записка с требованием выкупа называется: read_this.txt


Содержание записки о выкупе:

Здравствуйте.
Ваши документы и базы данных зашифрованы, резервные копии удалены.
Для получения инструкций по расшифровке, обратитесь к оператору по адресу: jet100@safe-mail.net, в теме письма указав "VKM1297".
Перед попытками самостоятельно расшифровать файлы настоятельно рекомендуется сделать резервные копии, в противном случае восстановление не гарантируется.

Перевод записки на русский язык:
*** уже сделан ***


Как оказалось идентификатор VKM1397 получил сайт vkm1297.ru (Вагонно-колёсная мастерская, г. Старый Оскол, Россия). 
Когда мы получили запрос от пострадавших, сайт ещё открывался, но потом стал недоступен. На момент написания статьи сайт также не открывается. 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_this.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jet100@safe-mail.net
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author), Sandor
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 8 января 2021 г.

Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на NAS-устройствах с помощью AES-256 (режим CFB), а затем требует выкуп в 0.045 BTC (или больше), чтобы вернуть файлы. Оригинальное название: Bonsoir Ransomware. Дешифровщик написан на языке Go.  
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: ??? >> Bonsoir

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bonsoir


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW-RECOVER-MY-FILES.txt


Содержание записки о выкупе:
  .::: Bonsoir Ransomware :::.
~ We have to notify you that your device has been infected and all of your files are encrypted ~
~ This means you can not access any of your files without purchasing the "Bonsoir Decryptor" from us ~
The decryption solution is easy:
To buy decryptor instantly, you must visit our website using the TOR BROWSER!
1. Download and install the Tor browser on your computer: https://www.torproject.org/download/
2. Visit the our website with Tor browser: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*
3. Enter Login-Code: 
096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]
4. Takes the necessary steps by following the instructions provided on the our website.
5. We look forward to seeing you on cold winter nights.

Перевод записки на русский язык:
  .::: Bonsoir Ransomware :::.
~ Мы должны сообщить вам, что ваше устройство заражено и все ваши файлы зашифрованы ~
~ Это означает, что вы не можете получить доступ ни к одному из своих файлов, не купив у нас "Bonsoir Decryptor" ~
Решение расшифровки простое:
Чтобы купить дешифратор немедленно, вам надо посетить наш сайт, используя TOR БРАУЗЕР!
1. Загрузите и установите Tor-браузер на ваш компьютер: https://www.torproject.org/download/
2. Посетите наш веб-сайт с Tor-браузером: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*
3. Введите Логин-Код:
096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]
4. Сделайте необходимые шаги, следуя инструкциям на нашем веб-сайте.
5. Мы будем ждем вас холодными зимними ночами.


Скриншот с Tor-сата вымогателей:




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
---

Атакует только NAS-устройства, используя их многочисленные уязвимости.  
Целевые устройства: QNAP-420 NAS и другие. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-RECOVER-MY-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
decryptor.exe - Bonsoir Decryptor - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:/Users/Admin/go/src/LinuxDecrypt/Test/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
hxxx://5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/***
Email: - 
BTC: 1PZsqzRY8mwqs5VtZfCdeUmX33c2WjaV9o
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (decryptor.exe) >>
🐞 Intezer analysis (decryptor.exe) >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2021:
Топик на форуме >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание, оригинальный дешифровщик работает некорректно!
Если вы заплатили выкуп, но не можете расшифровать файлы, 
то обратитесь за помощью на форум по этой ссылке >>
***

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bonsoir)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *