Kasseika

Kasseika Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов ChaCha20 и RSA, а затем требует от жертвы заплатить в течении 72 часов выкуп в 50 BTC, чтобы расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: WindowsDefender.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop24.57859
BitDefender -> Trojan.Ransom.Kasseika.A
ESET-NOD32 -> Win32/Filecoder.Kasseika.A
Kaspersky -> Trojan-Ransom.Win32.Encoder.vpx
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Kasseika!MTB
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Malware.Win32.Gencirc.1496206d
TrendMicro -> Ransom.Win32.KASSEIKA.YPDLDT
---

© Генеалогия: ✂ BlackMatter > Kasseika

Сайт "ID Ransomware" Kasseika пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2023 — начале 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .<random>

Пример зашифрованного файла: <filename.extension>.CBhwKBgQD

Записка с требованием выкупа в таком случае называется: CBhwKBgQD.README.txt

Содержание записки о выкупе:

Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.

Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr

Telegram group link: hxxxs://t.me/+Reeq_NTdXDpkYzE1

Другим информатором жертвы является изображение с таким же текстом о выкупе, заменяющее обои Рабочего стола. Это белый текст на чёрном фоне. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Использует тактику BYOVD, утилиту PsExec для запуска вредоносного BAT-файла и драйвер Martini.sys для завершения процессов антивирусного ПО.

Для справки: BYOVD (Bring Your Own Vulnerable Driver) – метод атаки, для проведения которой хакеры используют безобидный драйвер, содержащий  известные уязвимости и имеющий цифровую подпись. После установки драйвера в систему атакующие смогут использовать эксплойт – выполнить вредоносный код или повысить права в системе.

Завершает свою работу, если обнаруживает в памяти пораженной системы следующие процессы:

ntice.sys

iceext.sys

Syser.sys

HanOlly.sys

extrem.sys

FRDTSC.SYS

fengyue.sys

Kernel Detective

CisUtMonitor

FileMonitor.sys

REGMON

regsys

sysregm

PROCMON

Revoflt

Filem

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает, не шифрует, следующие типы файлов:
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .hta, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msi, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .pdb, .prf, .ps1, .rom, .rtp, .scr, .search-ms, .shs, .spl, .sys, .theme, .themepack, .wpx, 

Пропускает, не шифрует, следующие файлы:

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

d3d9caps.dat

desktop.ini

GDIPFONTCACHEV1.DAT

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

Пропускает, не шифрует, файлы в следующих директориях (папках):

$Recycle.bin

$Windows.~bt

$Windows.~ws

All users

Boot

config.msi

Default

intel

Microsoft

msocache

perflogs

Program files

Program files (x86)

Programdata

public

System Volume Information

Tor browser

Windows

Windows.old

Файлы, связанные с этим Ransomware:
CBhwKBgQD.README.txt - название файла с требованием выкупа;

CBhwKBgQD.bmp - изображение с текстом о выкупе, заменяющее обои Рабочего стола; 
WindowsDefender.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 713b1c97b09d0e633ede2f62556e78b9 

SHA-1: c67835ca9504049a350fdb023ec7975cccce1674 

SHA-256: c33acab1ddbee95302f0d54feb1c49c40dec807cec251fb6d30d056f571155e0 

Vhash: 0360b6757d75557d1c155019z1!z 

Imphash: f70b1ace60f46c7b64cdd051e047275e

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Details, Write-Up, Write-Up, Topic of Support
 ***

 Thanks: 
 petik, pcrisk
 Andrew Ivanov (article author)
 TrendMicro
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Frivinho

Frivinho Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 0.1473766 BTC BTC, чтобы вернуть файлы. Оригинальное название: Frivinho. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> Generic.Ransom.HydraCrypt.40149811
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec -> Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom_FileCoder.R002C0DAM24
---

© Генеалогия: ✂ Chaos + другой код >> Frivinho

Сайт "ID Ransomware" Frivinho пока отдельно не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Frivinho0

По данным исследователей из Symantec Security Center в конце расширения должны быть еще два символа и оно может выглядеть так: .Frivinho0>v

В результате анализа расширение на файлах было .Frivinho0

Так выглядят зашифрованные файлы:

Записка с требованием выкупа называется: PLS_READ_ME.txt

Содержание записки о выкупе:

Oops, what happend?

All of your files have been encrypted

Your computer was infected with Frivinho Ransomware. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin or Robux.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself  to find out how to buy Bitcoin.

Many of our customers have reported these sites to be fast and reliable:

Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC

Check this pastebin to get the my newest Bitcoin Adress: hxxps://pastebin.com/raw/wZnisRDV

And by cheking the pastebin, you can see more information about how you can pay.

Перевод записки на русский язык:

Ой, что случилось?

Все ваши файлы зашифрованы

Ваш компьютер был заражен Frivinho Ransomware. Ваши файлы зашифрованы, и вы не сможете их расшифровать без нашей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить нашу специальную программу для дешифрования. Эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера. Цена программы $1500. Оплата возможна в биткойнах или Robux.

Как мне заплатить, где я могу получить биткойны?

Покупка биткойнов различается по странам, поэтому вам лучше всего самим поискать в Google, чтобы узнать, как купить биткойны.

Многие из наших клиентов отмечают, что эти сайты работают быстро и надежно:

Coinmama — hxxps://www.coinmama.com Bitpanda — hxxps://www.bitpanda.com

Информация о платеже Сумма: 0.1473766 BTC

Проверьте этот pastebin, чтобы получить мой новый биткойн-адрес: hxxps://pastebin.com/raw/wZnisRDV

А проверив pastebin, вы сможете увидеть дополнительную информацию о том, как вы можете оплатить.

---

Адрес, по которому размещается актуальный email вымогателей:

Другим информатором жертвы является изображение, которое заменяет обои Рабочего стола. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PLS_READ_ME.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: frivicobaia@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f64a5c6fa180acaee93d4fac406c579b 

SHA-1: bacf88f16fe670ef2d87df154929c51b28b12263 

SHA-256: cb7c19b49efd25a4314129c9024c8e84ad9dd8acb45658ecf43c2d1fab775ca6 

Vhash: 23603615551b00714f0034 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Wessy

Wessy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп $100 в Litecoin или в активах Pet Simulator 99 Roblox, чтобы получить дешифровщик и вернуть файлы. Оригинальное название: Wessy. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.38495
BitDefender -> Trojan.GenericKD.71263746
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.97%
Microsoft -> Ransom:MSIL/Filecoder.PKC!MSR
Rising -> Ransom.Chaos!8.12FB5 (CLOUD)
Tencent -> Msil.Trojan-Ransom.Encoder.Wwhl
TrendMicro -> TROJ_GEN.R002H0AAI24
---

© Генеалогия: родство выясняется >> Wessy

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине января 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wessy

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:

Don't worry, you can return all your files!

All your files like documents, photos, databases and other important are encrypted

What guarantees do we give to you?

You can send 3 of your encrypted files and we decrypt it for free.

send everything you have in ps99 to the user : pfftww

send everything you have in ps99 to the user : pfftww

(if you send less than $100 worth of ps99 titanics, huges, or gems please send $100 in litecoin to LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4)

You must follow these steps To decrypt your files :   

1) Write on uTox (hxxps://utox.org/) :E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E (our uTox contact ID)

2) Obtain Litecoin (You may have to pay some of the ransom with Litecoin

You may buy Litecoin from here hxxps://paybis.com/buy-litecoin/ when the ransom is paid in full then the decryptor tool will be placed onto your desktop.)

Dont do anything stupid...

We are watching

uTox contact ID: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin address: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Перевод записки на русский язык:

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, такие как документы, фото, базы данных и другие важные файлы, зашифрованы.

Какие гарантии мы вам даем?

Вы можете отправить 3 своих зашифрованных файла, и мы расшифруем их бесплатно.

отправьте пользователю все, что у вас есть в ps99: ***

отправьте пользователю все, что у вас есть в ps99: ***

(если вы отправите ps99 титаны или крипту на $100 в Litecoin на адрес ***)

Чтобы расшифровать файлы, надо выполнить следующие действия:

1) Напишите на uTox (hxxps://utox.org/): *** (наш контакт ID uTox)

2) Получите Litecoin (возможно, вам придется заплатить часть выкупа с помощью Litecoin).

Вы можете купить Litecoin здесь hxxps://paybis.com/buy-litecoin/. Когда выкуп будет выплачен полностью, инструмент расшифровки будет помещен на ваш рабочий стол.)

Не делайте глупостей...

Мы наблюдаем

uTox контакт ID: ***

Litecoin адрес: ***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа;
DonutLite1.2.1.exe - случайное название вредоносного файла;

svchost.exe - название вредоносного файла;

файл изображения, заменяющий обои Рабочего стола. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
uTox: E17712C45962279BAE0805044C6626CF11E033229AB539C23D0080A24486861B30A20C898E4E

Litecoin: LaSM19DpJAWr6NCVT2oAnWieozQPsRK7Bj83r4

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 57f8fbce24a06fa399c8690a6703a850 

SHA-1: 248bf857d4739f60fbb0f4e9dbd855f3cbf2d09f 

SHA-256: 2f9967e58f4c436c102a7de4c8e5b5aef61db1ddc0c5df601dc70b25b7416b46 

Vhash: 295036751511601a2b121031 

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Tomas Meskauskas (PCrisk), petikvx
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WantToCry

WantToCry Ransomware

Want_To_Cry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует файлы на сетевых дисках (NAS QNAP и др.) и сетевых хранилищах (NAS Zyxel и др.), а затем требует выкуп от $300 до $1000 и больше в BTC, чтобы вернуть файлы. Оригинальное название: WantToCry. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие NAS-вымогатели >> WantToCry

Сайт "ID Ransomware" идентифицирует WantToCry с 1 апреля 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2024 г. и позже.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. Кроме файлов на сетевых ресурсах может шифровать файлы в расшаренных папках, доступных через сеть. При этом неважно, какая ОС стоит на компьютере, Windows или любая система на основе Linux. 

К зашифрованным файлам добавляется расширение: .want_to_cry

Записка с требованием выкупа называется: !want_to_cry.txt

Содержание записки о выкупе:

All your data has been encrypted  by --WantToCry-- r@n50mw@re

You can buy decryption of all files for 300 USD.

For this:

  Visit https://tox.chat/download.html

  Download and install qTOX on your PC.

  Open it, click "New Profile" and create profile.

  Click "Add friends" button and search our contact -

963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

  Send a message with this string: 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  Send 3 test files. These should be files of no more than 20-30 MB each. We do not accept download links from third-party resources. We do not accept very large files, such as database files.

In response, we will send payment instructions and decrypted files. Payment is made in the Bitcoin cryptocurrency.

Перевод записки на русский язык:

Все ваши данные зашифрованы --WantToCry-- r@n50mw@re

Вы можете купить расшифровку всех файлов за 300 долларов.

Для этого:

   Посетите https://tox.chat/download.html.

   Загрузите и установите qTOX на свой компьютер.

   Откройте его, нажмите «Новый профиль» и создайте профиль.

   Нажмите кнопку «Добавить друзей» и найдите наш контакт -

963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

   Отправьте сообщение с этой строкой:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

   Отправьте 3 тестовых файла. Это должны быть файлы размером не более 20-30 МБ каждый. Мы не принимаем ссылки для скачивания со сторонних ресурсов. Мы не принимаем очень большие файлы, например файлы баз данных.

В ответ мы вышлем инструкции по оплате и расшифрованные файлы. Оплата производится в криптовалюте Bitcoin.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Некоторые пострадавшие заметили, что WantToCry Ransomware появился после использования неофициального (похожего на официальный) установщика Zoom. 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Все файлы с популярными расширениями, кроме системных. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключение: 

.exe, .bin и другие системные. 

Файлы, связанные с этим Ransomware:
!want_to_cry.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
qTOX: 963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support, Topic of Support, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.