Chinese Coffee

Chinese Coffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # ZEC (криптовалюта Zcash), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---

Обнаружения на файлы февраля 2022:

DrWeb -> Trojan.Siggen17.8190
BitDefender -> Trojan.GenericFCA.Agent.31992
ESET-NOD32 -> не обнаруживает
Kaspersky -> не обнаруживает
Malwarebytes -> не обнаруживает
Microsoft -> TrojanSpy:MSIL/Stealer!MSR
Rising -> не обнаруживает
Symantec -> не обнаруживает
Tencent -> не обнаруживает
TrendMicro -> не обнаруживает
---

DrWeb -> BackDoor.SiggenNET.37
BitDefender -> Trojan.GenericKD.48377584
ESET-NOD32 -> MSIL/Agent.VDN
Kaspersky -> HEUR:Trojan.MSIL.Agentb.gen
Malwarebytes -> Trojan.Agent
Microsoft -> Trojan:MSIL/Dllinject!MSR
Rising -> не обнаруживает
Symantec -> Downloader, Trojan.Gen.MBT
Tencent -> Win32.Trojan.Ransome.Eiwp
TrendMicro -> Ransom.MSIL.CHINESECOFFEE.THBBABB
---

BitDefender -> Gen:Variant.Ransom.Tedy.69

ESET-NOD32 -> MSIL/Agent.VDP, A Variant Of MSIL/Agent.VDP

Kaspersky -> HEUR:Trojan.MSIL.Crypt.gen

Microsoft -> TrojanSpy:MSIL/Stealer!MSR

Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Ransome.Andy, Win32.Trojan.Ransome.Drsj

TrendMicro -> TROJ_GEN.R023H09BI22, TROJ_GEN.R002H09BH22

---

© Генеалогия: предыдущие >> Chinese Coffee

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2022 г. Ориентирован на китайскоязычных пользователей, распространяется в Китае.

К зашифрованным файлам добавляется расширение: .coffee

Фактически используется составное расширение по шаблону: filename.coffee.xxxx.extension

Пример зашифрованного файла: document2021.coffee.1cMg.pdf

Записка с требованием выкупа называется: 请阅读我.RSA.txt

Содержание записки о выкупе:

简单说明：你的文件被加密了，需要付费找回。

操作指南：

==================================================

基于IPFS发布，速度略慢，根据网速，自行选择下面任一网址：

hxxx://ipfs.cf-ipfs.com/ipns/help.none.sbs/help.pdf

hxxxs://ipfs.fleek.co/ipns/help.none.sbs/help.pdf

hxxx://help.none.sbs.ipns.cf-ipfs.com/help.pdf

hxxxs://gateway.pinata.cloud/ipns/help.none.sbs/help.pdf

hxxx://dweb.link/ipns/help.none.sbs/help.pdf

hxxxs://help.none.sbs.ipns.ipfs.overpi.com/help.pdf

注意：解密工具长久有效，如遇临时离线，无法使用，请改个时候再试即可。

友情提醒：

1、不要修改被加密后的文件名，否则文件将无法恢复。

2、赎金采用数字货币支付，而数字货币三大交易所将在2021年12月底前关闭对中国区的服务，从交易所购买数字货币的动作请抓紧。

3、缴费过程涉及多个环节，需要时间，现在所剩时间不多，必须马上行动，耽搁不得！

4、若错过交易所渠道购币，可参考在线帮助附件2方法购买数字货币ZEC，准备赎金。

抱歉给您带来麻烦！祝未来一切顺利！

------解密所需信息，请留存--------

待解密密码：

XxxxK06ymMtsmWqUs5vLmoDCaacbNWdGNg7NYZxP/myH3YiLtv2BXrTGfMmSLuneVONI81+b9yyxY4nPvcvCjwbcxgyAiIRfjjlSIVmgUarhaNBU47tMcMauzoS/g3KCKiZGs8ektvcWRxFLwszAYzmNWb7fuIgTwkFJE+AkPUU=

Перевод записки на русский язык:
Объяснение: ваши файлы зашифрованы и вам нужно заплатить, чтобы вернуть их.
Руководство:
==================================================
В зависимости от версии IPFS скорость немного ниже, поэтому выберите любой из следующих URL-адресов:
hxxx://ipfs.cf-ipfs.com/ipns/help.none.sbs/help.pdf
hxxxs://ipfs.fleek.co/ipns/help.none.sbs/help.pdf
hxxx://help.none.sbs.ipns.cf-ipfs.com/help.pdf
hxxxs://gateway.pinata.cloud/ipns/help.none.sbs/help.pdf
hxxx://dweb.link/ipns/help.none.sbs/help.pdf
hxxxs://help.none.sbs.ipns.ipfs.overpi.com/help.pdf
Примечание. Инструмент расшифровки действует в течение длительного времени. Если он временно недоступен и не может быть использован, попробуйте еще раз в другое время.
Дружеское напоминание:
1. Не изменяйте имя зашифрованного файла, иначе файл не будет восстановлен.
2. Выкуп выплачивается в цифровой валюте, и три основные биржи цифровых валют закроют свои услуги в Китае к концу декабря 2021 года. Пожалуйста, поторопитесь приобрести цифровую валюту на биржах.
3. Процесс оплаты проходит по множеству звеньев и требует времени, времени осталось немного, поэтому действовать нужно немедленно, не откладывая!
4. Если вы пропустите канал обмена для покупки монет, вы можете обратиться к онлайн-помощи Приложение 2, чтобы купить криптовалюту ZEC и подготовиться к выкупу.
Извините за беспокойство! Всего наилучшего в будущем!
------ Информация для расшифровки, пожалуйста, сохраните ее -------
Пароль для расшифровки:
***

Скриншоты и краткое содержание руководства:

Предлагается: 

- загрузить и установить ПО Zecwallet Lite для использования криптовалюты ZEC;

- купить нужное количество криптовалюты ZEC и заплатить выкуп этими монетами; 

- ввести в дешифровщик номер транзакции перечисленного выкупа и запустить его. 

 

 

 

 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно обнаружениям антивирусных движков содержит криптомайнер. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
请阅读我.RSA.txt - название файла с требованием выкупа; 

Updater.exe, csrts.exe - названия вредоносных файлов; 

AppUnion.dll, Myou.dll - названия вредоносных файлов; 

AppUnion.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
ZEC: zs1rwqlxjhjaya307y2ejydheq09cvhj2p4ssgnwcv2apqvryh5e48jt29sr9uy3s3tek3s2e4u6l4

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: aa877144edcef2e8d5a8d37d7ea0d4b6

SHA-1: 865fe61d037b67841c36468a9e7af15656621abc

SHA-256: 3dca9bd1af28bbf348c0562475edd60de2b5a2424e586eaf118909b013054eee

Vhash: 25503675551360ff6e3513bd2c

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 313bc92dce801c2ec316c57ea74dd92a

SHA-1: dd13b2799a9ecea34c29aeffba8ffee5a85d10c6

SHA-256: 467e0dce7deac627f86ce46aa0ec23b0265da45dc85564a71cf10bf676f84a6f

Vhash: 33403655151120941d152060

Imphash: dae02f32a21e03ce65412f6e56942daa

---

Дополнительные IOC: VT:

MD5: 66996144cacadce3f9e98cff879055c6

MD5: 2073bcb8bc4a98abf73da271507802c4

MD5: a46b5c34adc2d45bafa9349072989979

MD5: 15be04b770315622bc49409462c93bfe

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message + myMessage + Message
 Write-up, Topic of Support
 * 

Внимание! 
Файлы может расшифровать 360 Ransomware Decryption Tools
Ссылка на загрузку:
http://www.360totalsecurity.com/en/download-free-antiransomware/decryption-tool/

 Thanks: 
 xiaopao, Jirehlov Solace, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Problem

Problem Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателя, чтобы купить дешифровщик для файлов и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Problem

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .problem

В конце зашифрованного файла добавляется некий код.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:

Hello, all files has been encrypted.

Send your ID: 653123f601 to doyouhaveaproblem@cock.li and icansolveit@protonmail.com as fast as possible.

!IMPORTANT!

Don't try to restore files by yourself, because after it we cant guarantee that the decryptor will work correctly.

Also don't waste time making a decision. We don't keep decryption keys forever.

Waiting for your reply.

Перевод записки на русский язык:

Привет, все файлы были зашифрованы.

Отправьте свой ID: 653123f601 на doyouhaveaproblem@cock.li и icansolveit@protonmail.com поскорее.

!ВАЖНО!

Не пробуйте вернуть файлы сами, т.к. после этого мы не сможем гарантировать корректную работу дешифратора.

Также не тратьте время на принятие решения. Мы не храним ключи расшифровки вечно.

Жду твоего ответа.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: doyouhaveaproblem@cock.li, icansolveit@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EvilNominatus

EvilNominatus Ransomware

Aliases: EvilNominatusCrypto, RozbehCrypt, EvilCrypt, RozbehRevenge

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем сообщает, что файлы будут заражены после трёх попыток ввода неверного кода. Оригинальное название: EvilNominatus. На файле написано: EvilNominatus.exe или  EvilNominatusCrypto.exe.
---

Обнаружения:
DrWeb -> Trojan.EncoderNET.32
BitDefender -> Trojan.GenericKD.47864209
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Ransom:MSIL/RozbehCrypt.PA!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10cfb5ab
TrendMicro -> Ransom_RozbehCrypt.R002C0DLR21
---
Обнаружения:
DrWeb -> Trojan.Siggen16.37072
BitDefender -> IL:Trojan.MSILZilla.12204
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EvilNominatus.C
Kaspersky -> Trojan.MSIL.Agent.qwilkc
Malwarebytes -> Ransom.EvilNominatus
Microsoft -> Trojan:MSIL/EvilCrypt.PAA!MTB
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Ebqp
TrendMicro -> TROJ_GEN.R03FC0DAN22
---

© Генеалогия: HiddenTear >> EvilNominatus

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образцы этого крипто-вымогателя были найдены в конце декабря и во второй половине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: -Locked

Записка без требований выкупа написана на экране блокировки: 

Содержание записки о выкупе:

CryptoVirus Detected!  Ransom.NominatusStrike

your files will get infected  if you enter the wrong code 3 times!!! you can contact the Attacker and ask him for the key by entering the code we leave you alone!!! theres no way to remove this virus without code! when you restart we will attack to your Computer we disabled exe files , task manager, run.exe, regedit!! if you still think you can recover your files from safe mode you are stupid! 

Перевод записки на русский язык:

Обнаружен КриптоВирус! Ransom.NominatusStrike

ваши файлы будут заражены, если вы введете неверный код 3 раза!!! вы можете написать Атакующему и попросить у него ключ, введя код мы оставляем вас в покое!!! нет способа удалить этот вирус без кода! при перезагрузке мы атакуем ваш компьютер, мы отключили exe-файлы, диспетчер задач, run.exe, regedit!! если вы еще думаете, что можете вернуть ваши файлы из безопасного режима, вы глупы!

Комбинированные скриншоты

На них видно экран блокировки и зашифрованные файлы. 

Нет никаких контактов для всязи, возвожно находится в разработке или сделан для умышленного причинения вреда без возможности восстановления файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки системы. 

➤ Добавляется в Автозагрузку. Отключает редактор реестра. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

EvilNominatus.exe - название вредоносного файла;

RozbehSkullofMask.exe - название раннего файла проекта; 

EvilNominatusCrypto.pdb - название нового файла проекта; 
EvilNominatusCrypto.exe - название вредоносного файла. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\RozbehSkullofMask.exe

C:\Users\hannan\Documents\SharpDevelop Projects\RInjector\TRS\obj\Debug\EvilNominatusCrypto.pdb

C:\Users\Admin\AppData\Local\Temp\EvilNominatusCrypto.exe

C:\Users\User\Desktop\NSIS.lnk-Locked

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Bkhtyaryrwzbh@gmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a07ad47b052c812a2c2da5b1787855f4

SHA-1: bafda67a9dd19795584ed8679d3a0e5b36d2432a

SHA-256: a0fb8417720da120c09f19ad62030bf1dc7f51b74326582f2f9d4488d426a800

Vhash: 224036551511109f9131020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8e23d84e5c58270136539c4cb3e604a4

SHA-1: 4cc242e1f24af73d2a3e38e4ad103df0ae62d93c

SHA-256: 01cec0306b25849804ac2770d877423d9f00adfae6217c72842630d18c048ba4

Vhash: 21403655151110969181020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 13 февраля 2022 >>

Сообщение: 

ransomware removed from your Computer but files still encrypted you can now contact attacker Bkhtyaryrwzbh@gmail.com to get the decrypter

Перевод: 

ransomware удален с вашего компьютера, но файлы еще зашифрованы, вы можете написать хакеру на Bkhtyaryrwzbh@gmail.com, чтобы получить расшифровщик

---

Результаты анализов: VT + VT

Обнаружения: 

DrWeb -> Trojan.Encoder.10598

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.E, A Variant Of MSIL/Filecoder.EvilNominatus.E

Rising -> Ransom.EvilNominatus!8.136A4 (CLOUD)

TrendMicro -> TROJ_FRS.0NA103BG22

Вариант от 4 мая 2022:

Самоназвание: Nominatus Ransomware 2

Сообщение >>

Расширение не добавляется. 

Записка: NominatusRansomware2Message.txt

Email: Bkhtyaryrwzbh@gmail.com

Discord: Nominatus#1297 

Файл проекта: RozbehRevenge.pdb

Файл EXE: RozbehRevenge.exe

Результаты анализов: VT + IA + TG

Обнаружения: 

DrWeb -> Trojan.EncoderNET.37

ESET-NOD32 -> MSIL/Filecoder.EvilNominatus.H

Malwarebytes -> Ransom.FileCryptor

Содержание записки: 

Files has been encrypted with Nominatus Ransomware 2 Contact Creator of this ransomware on discord Nominatus#1297 on discord or contact his email Bkhtyaryrwzbh@gmail.com for more Information

Вариант от 31 мая 2022: 

Самоназвание: RozbehOfSatan Ransomware

Доп. название: Quax0r Ransomware

Сообщение >>

Расширение: не используется

Метка: LOCKEDBYROZBEHOFSATAN

Записка о выкупе написана в командной строке. 

Содержание сообщения: 

All files have been encrypted by NominatusCrypto ( Quax0r ) contact the creator of this virus on discord Nominatus#9251 for more information if you restart then your account will be useless! files cannot be decrypted without paying the ransom to the creator!! live or die? 

Файл проекта: C:\Users\sd\Documents\SharpDevelop Projects\Quax0r\obj\Debug\Quax0r.pdb

Строка запуска: 

cmd.exe /c assoc .exe=RozbehOfSatanFile && assoc .bat=RozbehOfSatanFile && assoc .cmd=RozbehOfSatanFile

Файл: Quax0r.exe

Результаты анализа: VT + TG + IA

Вариант от 13 июня 2022: 

Доп. название: Triclyde Ransomware

Сообщение >>

Записка о выкупе: всплывающее окно. 

Файл: Triclyde.exe (WindowsScan.exe)

Результат анализа: VT 

Обнаружения: 

DrWeb -> Trojan.Encoder.35481

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARR

TrendMicro -> Ransom.MSIL.NOMINATUS.THFAEBB

Вариант от 23 июня 2022: 

Сообщение >>

Файл: RozbehOfSatan.exe

Результат анализа: VT

Обнаружения: 

DrWeb -> Trojan.EncoderNET.40

ESET-NOD32 -> MSIL/Filecoder.ASC

TrendMicro -> Ransom.MSIL.NOMINATUS.THFBDBB

---

Здесь и далее вводится упрощенный способ добавления новых вариантов — без ссылок. Это нужно чтобы уменьшить размер статьи и ускорить ввод информации. 

---

Вариант от 15 июля 2022: 

Сообщение: twitter.com/pcrisk/status/1548997471090708481

Расширение: нет

Доп. название: StormByte Ransomware

Записка: на экране

Файл EXE: StormByte.exe

IOC: VT: MD: 22a975eb038011095e8b9ff9a3078ffa

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Karsten Hahn
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.