N3ww4v3 Ransomware
Aliases: Mimic, Everything, HorseLovers
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.35534, Trojan.Encoder.36055, Trojan.Encoder.36115
BitDefender -> Gen:Variant.Tedy.175217
ESET-NOD32 -> A Variant Of Win32/Filecoder.Mimic.A
Kaspersky -> HEUR:Trojan.Win32.Scar.gen
Malwarebytes -> Malware.AI.1988362341
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:/DRY***
Tencent -> Malware.Win32.Gencirc.120817c3
TrendMicro -> TROJ_GEN.R002H09IO22
---
© Генеалогия: родство выясняется >> N3ww4v3
Обнаружения:
DrWeb -> Trojan.Encoder.35534, Trojan.Encoder.36055, Trojan.Encoder.36115
BitDefender -> Gen:Variant.Tedy.175217
ESET-NOD32 -> A Variant Of Win32/Filecoder.Mimic.A
Kaspersky -> HEUR:Trojan.Win32.Scar.gen
Malwarebytes -> Malware.AI.1988362341
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Generic@AI.86 (RDML:/DRY***
Tencent -> Malware.Win32.Gencirc.120817c3
TrendMicro -> TROJ_GEN.R002H09IO22
---
© Генеалогия: родство выясняется >> N3ww4v3
Сайт "ID Ransomware" это идентифицирует как N3ww4v3/Mimic (с 31 марта 2023).
Информация для идентификации
Активность этого крипто-вымогателя была в конце июля и продолжилась в августе-ноябре 2022 г. Ориентирован на англоязычных или русскоязычных пользователей, может распространяться по всему миру.
Далее мы видели разные варианты, которые используют разные элементы вымогательства, разный текст и прочее. Смотрите известные нам варианты в обновлениях после основной статьи.
К зашифрованным файлам добавляется расширение: .n3ww4v3
Записка с требованием выкупа называется: How-to-decrypt.txt
В более новых вариантах может различаться по названию и содержанию.
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Многие типы файлов, кроме тех, что находится в списках исключаемых.
Записка с требованием выкупа называется: How-to-decrypt.txt
В более новых вариантах может различаться по названию и содержанию.
Содержание записки о выкупе:
|!!!| Hello |!!!|
---> DON'T ignore this and check ALL INFO carefully!!!
*** About situation:
ALL your important files have been encrypted and ALL sensitive information also leaked!
This modification is reversible and data remain safe!
Encrypting your data is only proof , we only interested money, we don't want to damage your reputation , don't want to harm your work, not make a DDOS attack on your infrastructure - we only check and uploaded your files!
*** IF WE DO NOT FIND A COMMON LANGUAGE:
---> All encrypted data be irretrievably lost.
---> Leaked data will be published or sold on black-market (or to competitors).
This will be followed by serious consequences and all your customers\partners and special services will be notified about it!
!!! FOLLOW INSTRUCTIONS TO AVOID IRREVERSIBLE CONSEQUENCES !!!
!!!YOU NEED ASAP CONTACT WITH US TO DEAL THIS!!!
---> You don't have another way.
Our contacts will be provided below!
****************************************
!!! WARNING !!!
DON'T use any third party software for restoring your data or antivirus solutions!
DO NOT MODIFY ENCRYPTED FILES!
DO NOT RENAME ENCRYPTED FILES!
- it's may entail damage of the private key and, as result - you loss all data.
!!!No software and services available on internet can help you!!!
!!! Decryption of your files with the help of third parties may cause increased price (they add their fee to our and they usually fail) or you can become a victim of a scam.
__________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
REMINDING:
It's in your interests to get your files back and safe all lost files,docs,bases.
We have your highly confidential/personal data. These data are currently stored on a private server(cloud)!
---> After payment this cloud will be deleted and your data stay safe!
We guarantee complete anonymity and can provide you with proof and guaranties from our side and our best specialists make everything for restoring, but please should not interfere without us.
|!!!| IF YOU DON'T CONTACT US WITHIN 48 HOURS FROM LOCK YOUR DATA - PRICE WILL BE HIGHER. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** HOW TO CONTACT US:
Just write us an email to this mail(s):
sendr@onionmail.org
sendr@tutanota.com
* To ANONIMOUS contact with us, create a new free email account on the site: tutanota.com (recommended) , onionmail.org , protonmail.com
* To avoid having your email blocked and get spam filters, send private information (such as your private key) with the private notes service:
privnote.com
If you do not receive a reply within 24 hours or do not receive a response to your following messages, contact us with another email or through qTox!
! add our mails to contacts so as not to lose letters from us !
!!! check your spam sometimes, our emails may get there !!!
Your decrypt ID is: ydSr4J56mcJbJ-ABSUzl31J-EtjTnZIkebzT5_2s9wk*n3ww4v3
----------------------------------------
!!! for a quick contact with us or if you will not receive our letters !!!
download qTox and ADD our TOXID.
our individual key(TOXID):
9E7B8EE126E712BECE1D6A84DD776F25646C13B1E7CDBF00169078EE6EAC653E9B455D7*****
How to download qTOX messenger:
hxxxs://tox.chat/download.html
hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe
Перевод записки на русский язык:
|!!!| Привет |!!!|
---> НЕ ИГНОРИРУЙТЕ это и внимательно проверьте ВСЮ ИНФОРМАЦИЮ!!!
*** О ситуации:
ВСЕ ваши важные файлы зашифрованы, а также утекла ВСЯ конфиденциальная информация!
Эта модификация обратима, и данные остаются в безопасности!
Шифрование ваших данных только доказательство, нас интересуют только деньги, мы не хотим портить вашу репутацию, не хотим навредить вашей работе, не делаем DDOS атаку на вашу инфраструктуру - мы только проверяем и сливаем ваши файлы!
*** ЕСЛИ НЕ НАХОДИМ ОБЩИЙ ЯЗЫК:
---> Все зашифрованные данные будут безвозвратно утеряны.
---> Утечка данных будет опубликована или продана на черном рынке (или конкурентам).
За этим последуют серьезные последствия, о чем будут оповещены все ваши клиенты\партнеры и спецслужбы!
!!! СЛЕДУЙТЕ ИНСТРУКЦИИ ВО ИЗБЕЖАНИЕ НЕОБРАТИМЫХ ПОСЛЕДСТВИЙ!!!
!!!ВАМ НУЖНО СВЯЗАТЬСЯ С НАМИ, ЧТОБЫ СДЕЛАТЬ ЭТО!!!
---> У вас нет другого пути.
Наши контакты будут указаны ниже!
****************************************
!!! ПРЕДУПРЕЖДЕНИЕ !!!
ЗАПРЕЩАЕТСЯ использовать сторонние программы для восстановления данных или антивирусные решения!
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ!
- это может привести к повреждению закрытого ключа и, как следствие, потере всех данных.
!!! Никакие программы и сервисы, доступные в Интернете, вам не помогут!!!
!!! Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей и обычно не работают) или вы можете стать жертвой мошенников.
________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
НАПОМИНАНИЕ:
В ваших интересах вернуть свои файлы и сохранить все потерянные файлы, документы, базы.
У нас есть ваши строго конфиденциальные/личные данные. Эти данные теперь хранятся на частном сервере (облаке)!
---> После оплаты это облако будет удалено, а ваши данные останутся в безопасности!
Мы гарантируем полную анонимность и можем предоставить вам доказательства и гарантии с нашей стороны, а наши лучшие специалисты сделают все для восстановления, но, пожалуйста, не вмешивайтесь без нас.
|!!!| ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 48 ЧАСОВ ПОСЛЕ БЛОКИРОВКИ ДАННЫХ - ЦЕНА БУДЕТ ВЫШЕ. |!!!|
_________________________________________________________________
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*** КАК С НАМИ СВЯЗАТЬСЯ:
Просто напишите нам письмо на эту почту:
sendr@onionmail.org
sendr@tutanota.com
* Чтобы АНОНИМНО связаться с нами, создайте новую бесплатную учетную запись email на сайте: tutanota.com (рекомендуется) , onionmail.org , protonmail.com
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ N3ww4v3 Ransomware использует возможности Windows (Powershell и пр.), а также библиотеку OpenSSL для проведения шифрования файлов.
Для запуска требуется легитимный файл Everything32.dll или Everything64.dll в 64-разрядной системе.
Список использованных файлов находится в специальной папке с характерным цифровым названием, см. на скриншоте ниже.
Путь: C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\
➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
vssadmin delete shadows /all /quiet
wbadmin.exe DELETE SYSTEMSTATEBACKUP
wbadmin.exe delete catalog -quiet
Многие типы файлов, кроме тех, что находится в списках исключаемых.
Это обязательно будет документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Исключаемые файлы:
файлы используемой записки о выкупе
зашифрованные файлы с используемым расширением
boot.ini
bootfont.bin
desktop.ini
iconcache.db
io.sys
ntdetect.com
ntldr
ntuser.dat
ntuser.ini
thumbs.db
session.tmp
exe
Исключаемые директории:
$RECYCLE.BIN, $WINDOWS.~BT, $Windows.~WS,
:\Users\Default\,:\Users\Public\,
Boot, Cache, Common Files, Config.Msi,
C:\Users\User\AppData\Local\{***},
Chrome, Firefox, Internet Explorer, MicrosoftEdge, Mozilla Firefox, Mozilla, Opera, Opera Software, Tor Browser,
Intel, Microsoft, Microsoft Shared, Microsoft.NET, MSBuild, MSOCache,
Packages, PerfLogs,
Program Files (x86), Program Files, ProgramData,
steamapps, System Volume Information,
Temp, tmp, USOShared,
Windows Defender, Windows Journal, Windows NT, Windows Photo Viewer, Windows Security,
Windows, Windows.old, WindowsApps, WindowsPowerShell, WINNT,
Вырубаемые процессы:
agntsvc.exe, AutodeskDesktopApp.exe, axlbridge.exe,
bedbh.exe, benetns.exe, bengien.exe, beserver.exe,
CoreSync.exe, Creative Cloud.exe,
dbeng50.exe, dbsnmp.exe,
encsvc.exe, EnterpriseClient.exe,
fbguard.exe, fbserver.exe, fdhost.exe, fdlauncher.exe,
httpd.exe,
isqlplussvc.exe, java.exe,
msaccess.exe, MsDtSrvr.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe,
mysqld.exe, mysqld-nt.exe, mysqld-opt.exe,
node.exe,
ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe,
pvlsvr.exe, python.exe,
QBDBMgr.exe, QBDBMgrN.exe, QBIDPService.exe,
qbupdate.exe, QBW32.exe, QBW64.exe,
Raccine.exe, Raccine_x86.exe, RaccineElevatedCfg.exe, RaccineSettings.exe, RAgui.exe, raw_agent_svc.exe,
SimplyConnectionManager.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlmangr.exe, sqlservr.exe, sqlwriter.exe,
Ssms.exe, Sysmon.exe, Sysmon64.exe,
tbirdconfig.exe, TeamViewer.exe, TeamViewer_Service.exe, tomcat6.exe, tv_w32.exe, tv_x64.exe,
VeeamDeploymentSvc.exe, vsnapvss.exe, vxmon.exe,
wdswfsafe.exe, wpython.exe, wsa_service.exe, wxServer.exe, wxServerView.exe,
xfssvccon.exe,
Отключаемые службы:
AcronisAgent, ARSM,
backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider,
CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, Culserver,
dbeng8, dbsrv12, DefWatch,
FishbowlMySQL,
GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss,
memtas, mepocs,
MSExchange$, msexchange, msftesql-Exchange, msmdsrv,
MSSQL$, MSSQL$KAV_CS_ADMIN_KIT, MSSQL$MICROSOFT##SSEE, MSSQL$MICROSOFT##WID, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$VEEAMSQL2012, MSSQL, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, MSSQLServerADHelper100, MVArmor, MVarmor64, MySQL57,
PDVFSService,
QBCFMonitorService, QBFCService, QBIDPService, QBVSS,
RTVscan,
SavRoam, sophos,
SQL, SQLADHLP, SQLAgent$KAV_CS_ADMIN_KIT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$VEEAMSQL2012, sqlagent, sqlbrowser, Sqlservr, SQLWriter,
stc_raw_agent, svc$,
tomcat6,
veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, vmware-converter, vmware-usbarbitator64, VSNAPVSS, vss,
wrapper, WSBExchange,
YooBackup, YooIT,
Отключает системные службы: телеметрию, поиск, дефрагментацию, удаленную поддержку, BITS, VSS, диагностику и прочее.
Файлы, связанные с этим Ransomware:
How-to-decrypt.txt - название файла с требованием выкупа;
encrypt.exe - название вредоносного файла;
Everything32.dll, Everything64.dll и другие файлы, которые считаются невредоносными, хотя используются только злоумышленниками.
DC.exe - утилита для контроля Windows Defender, тоже считается невредоносной, хотя используется только злоумышленниками;
sdel.exe, sdel64.exe - файлы утилиты SDelete, тоже считается невредоносной, хотя используется только злоумышленниками;
system86.exe, system64.exe - вредоносные файлы, копии или ассистенты основного файла шифровальщика;
decr.exe - оригинальный файл для расшифровки файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything32.dll
C:\Users\admin\AppData\Local\{6FCE8457-5C44-8257-FD64-EFD55CE10FDE}\Everything64.dll
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: sendr@onionmail.org, sendr@tutanota.com
BTC: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: sendr@onionmail.org, sendr@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 01ff843b385a9e4d58e4a892fda02fd5
SHA-1: 233dae8cdb91e030d792d510eaebadb4a4f5a329
SHA-256: 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f
Vhash: 026056656d155562f3z72zd31z23z8045z3091zb4z147z
Imphash: 03693bdee422e8a1531fe65d84da7646
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
*
=== РЕКОМЕНДАЦИИ: КАК ДО ТАК И ПОСЛЕ АТАКИ ===
На компьютере нужно удалить все ПО, которое использует библиотеки из пакета OpenSSL и полностью деактивировать Windows Powershell и Windows Script Host как вредоносное/опасное ПО от Microsoft.
Если будете переустанавливать систему, то до установки обязательно отключите от сети и интернета каждый ПК. Потом отключите и полностью удалите Powershell и Windows Script Host без возможности восстановления из бекапов и WinSxS. После удаления зачистите остатки с помощью DISM++, например, или другими способами.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Более ранний вариант: от 25 июля 2022:
"FromSiberiaWithLove"
Расширение: .hicrypt
Требуется наличие файла Everything32.dll для запуска.
Вариант от 19 августа 2022:
Расширение: .n3ww4v3
Записка: How-to-decrypt.txt
Email: itsupport831@reddithub.com
Вариант от 12 сентября 2022:
Расширение: .3kfAp
Записка: How-to-decrypt.txt
Email: help@inboxhub.net, support007@mailfence.com
Вариант от 5 октября 2022:
Расширение: .9niOpX
Записка: How-to-decrypt.txt
Email: help@inboxhub.net
Вариант от 5 октября 2022:
Расширение: .g0eI9
Записка на русском языке: Instructions.txt
Email: secure5555@msgsafe.io
Вариант от 7 октября 2022 и позже:
Расширение: .0v3yT8
Записка: How-to-decrypt.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
Файл: 0v3yT8.06.10.exe
Вариант от 30 октября 2022:
Расширение: .HONESTBITCOIN
Записка: How-to-decrypt.txt
TOX messenger ID: 95CC6600931403C5***
ICQ: @herkonasladok
Skype: HERKONASLADOK DECRYPTION
Email: herkonasladok@onionmail.org
Вариант от 7 ноября 2022:
Расширение: .r0Qp@3M
Записка: Instruction.txt
Email: team@yahooweb.co, ironsupport@onionmail.org
---
Пострадавшие сообщают, что периодически в Блокноте открывается файл Instruction.txt. Этот Ransomware запрещает доступ к Диспетчеру задач, к Поиску, к Кортане, отключает Защитник и Брандмауэр Windows, вносит изменения в реестр, что показывать сообщение "Your virus and threat protection is managed by your organization" (Ваша защита от вирусов и угроз управляется вашей организацией). Также удаляет все параметры питания из меню "Пуск", даже выключение не работает. Ничего не делается, если набрать команду "shutdown -s -t 0".
Вариант от 8 ноября 2022:
Может быть расшифрован с помощью дешифровщика вымогателей.
Это подтверждают пострадавшие, уплатившие выкуп и расшифровавшие файлы.
Расширение: .Fora
Записка: What_happened_read_me.txt
TOX ID: 95CC6600931***
ICQ: @ONIONHUNTER
Skype: ONIONHUNTER DECRYPTION
Email: onionhunter@onionmail.org
Вариант от 22 ноября 2022:
Расширение: .t4c2ewdqca
Записка: Instruction.txt
Email: help5555@msgsafe.io
Вариант от 29 ноября 2022:
Расширение: .PORTHUB
Записка: HOW_TO_DECRYPT.txt
TOX: C55A6B53086***
ICQ: @PORTHUB
Skype: PORTHUB DECRYPTION
Вариант от 1 декабря 2022 или раньше:
Расширение: .1cy931cn9v
Email: iron@techmail.info, ironsupport@onionmail.org
Вариант от 7 декабря 2022 в течение месяца:
Расширение: .QUIETPLACE
Записка: Decrypt_me.txt
Email: mcdonaldsdebtzhlob@onionmail.org
ICQ: @mcdonaldsdebtzhlob
qTOX: 95CC6600931403C55E***
Skype: MCDONALDSDEBTZHLOB DECRYPTION
Сумма выкупа: 0.1 BTC
Ключи в реестре с текстом вымогателей:
HKLM\...\Policies\system: [legalnoticecaption] All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted with Our virus. ***тут должен быть весь текст записки***
Вариант от 17 января 2023:
Расширение: .bigspermhorseballs
Записка: Bigspermhorseballs_Decryption.txt
Email: Bigspermhorseballs@onionmail.org
ICQ: @Bigspermhorseballs
qTOX: 95CC6600931403C55E***
Skype: Bigspermhorseballs DECRYPTION
IOC: VT
=== 2023 ===
Вариант от 24 января 2023:
Расширение: .w9lq64h4
Записка: Instruction.txt
Email: temp515@msgsafe.io
Вариант от 21 февраля 2023 или раньше:
Расширение: .h777XRgNVM777xM
Записка: How-to-decrypt.txt
Email: engines-1@tutanota.com
qTox: 6ED6E259AF8BBDBBAD4908B3F64B3E8F15D22CE25BBE24733A7C5B0312DCD346107FDC8FD969
Вариант от 24 февраля 2023 или раньше:
Расширение: .darth
Записка: README.txt
Email: aegisbackupz@gmail.com
Вариант от 24 февраля 2023 или раньше:
Расширение: .Indianguy
Записка: INDIANGUY_DECRYPTION.txt
Email: indianguy@onionmail.org
Tox ID: 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Вариант от 27 февраля 2023 или раньше:
Расширение: .damarans
Записка: ---IMPORTANT---NOTICE---.txt
Email: damarans@mail.ru, damarans@outlookpro.net
Вариант от 19 марта 2023 или раньше:
Расширение: .HONEYHORSELIKESMONEY
Записка: info.txt
TOX (qtox): 95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ICQ: @Hairysquid
ICQ: @SEXYHORSES
Skype: SEXYHORSES DECRYPTION
Email sexyhorses@onionmail.org
Вариант от 22 марта 2023 или раньше:
Расширение: .dataland
Email: newdataland@gmail.com
Вариант от 30 марта 2023:
Расширение: .05ru26hw
Записка: Instruction.txt
Email: hackerone@msgden.net, richard.rivera@onionmail.org
Вариант от 8 апреля 2023:
Расширение: .pisunellakonososeila@onionmail.org
Записка: OMO_OMO_Decryption.txt
Email: pisunellakonososeila@onionmail.org
BTC: bc1qq3e6xklnm9wzp4jg5fal8yx3x6pvr4n9a8mx9a
Вариант от 18 апреля 2023:
Extension: .ul8dlsj86v
Ransom note: Instruction.txt
Email: it.support@yahooweb.co, datacenter@onionmail.com
Вариант от 1 мая 2023:
Расширение: .vqu73pg24d
Записка: Instruction.txt
Email: head@yahooweb.co, order@cyberfear.com
Варианты от 16 мая и 10 июня 2023:
Расширение: .thaihorsefuckers@onionmail.org
Записка: READ_ME_MY_FRIEND.txt
Email: thaihorsefuckers@onionmail.org
TOX ID: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
ICQ: @THAIHORSEFUCKERS
Skype: THAIHORSEFUCKERS DECRYPTION
Вариант от 19 июня или раньше:
Расширение: .anilorak@onionmail.org
Записка: Anilorak_Decryption.txt
Email: anilorak@onionmail.org, anilorakbest@onionmail.org
ICQ: @Anilorakbest
TOX: E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
Skype: Anilorakbest Decryption
Вариант от 29 июля или раньше:
Расширение: .showrans@mail.ru.show
Записка: ---BILGILENDIRME----NOTU---.txt
Email: showrans@mail.ru
Вариант от 6 августа 2023 или раньше:
Расширение: .an8uxv2w
Записка: Amigodainapasik_Decryption.txt
Файл: amigo.exe
Пути, расположения:
C:\Users\Администратор\Desktop\adisable\amigo.exe
C:\Amigodainapasik_Decryption.txt
C:\Users\Администратор\Desktop\AM.zip
C:\Users\Администратор\Desktop\adisable.zip
C:\Users\Администратор\Desktop\adisable\disable_backup.bat
Вариант от 18 августа или ранее:
Расширение: .PISCOSTRUI
Email: piscostrui@onionmail.org
Tox ID: E9164A***
ICQ: @PISCOSTRUI
Skype: PISCOSTRUI DECRYPTION
Записка: README.txt
TOX: E9164A982410EFAEBC451C1D5629A***
ICQ: @PANIN
SKYPE: Panin Decryption
Вариант от 21 октября 2023:
Расширение: .PODSTAVLIAIPOPKU
Записка: PODSTAVLIAIPOPKU_DECRYPTION.txt
TOX: E9164A982410EFAEBC451C1D5629A2***
ICQ: @PODSTAVLIAIPOPKU
SKYPE: PODSTAVLIAIPOPKU Decryption
Записка: Instruction.txt
Email: krypto@bingzone.net, krypto111@skiff.com
Вариант от 12 декабря 2023:
Расширение: .GREEDYFATHER
ICQ: @GREEDYFATHER
SKYPE: GREEDYFATHER Decryption
Email: greedyfather@onionmail.org
Вариант от 24 декабря 2023:
Расширение: .1000USD
Записка: ----Read-Me-----.txt
Email: yourdata@bk.ru
2024
Вариант от 17 февраля или раньше:
Расширение: .4ru9b88d70
Записка: Instruction.txt
=== ДЕШИФРОВЩИК = DECRYPTOR ===
Оригинальный дешифровщик выглядит следующим образом.
Обладание дешифровщиком бесполезно без ключа дешифрования.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***
Added later: Write-up by TrendMicro (on January 23, 2023)
Thanks: S!Ri, quietman7, Sandor, al1963 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
