Если вы не видите здесь изображений, то используйте VPN.

вторник, 30 мая 2017 г.

GrodexCrypt

GrodexCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: GrodexCrypt. На файле написано: windir.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MicroCop (Crypt888) > GrodexCrypt

К зашифрованным файлам, как в прошлогоднем MicroCop, добавляется не расширение, а приставка Lock. — таким образом зашифрованный файл тоже выглядит так: Lock.original_name.png

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
 

Содержание записки о выкупе и FAQ:
1. 
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! You can still save your files.
You have 48 hours to pay 50 USD in Bitcoins to get the decryption key.
After 48 all the files will be deleted and the decryption key will be destroyed.
If you do not have bitcoins Google the website buybitcoinworldwide or localbitcoins
Purchase 50 American Dollars worth of Bitcoins.
Send to the Bitcoins address specified.
Within minutes of receiving your payment your computer will receive the decryption application and return to normal.
Try anything funny and the decryption key will be destroyed along with your whole computer.
As soon as you have paid, please send email to STYSLA@PROTONMAIL.COM with your unique code: "7C8" as we receive the email we will send you the decryption application.
https://www.buybitcoinworldwide.com/

2. 
Q: Is it possible to decrypt my files without paying?
A: No
Q: What if I try to remove this software?
A: Your decryption application will be destroyed and all of your files will be deleted
Q: What if I dont have bitcoins?
A: We have clear instructions how to buy bitcoins and send them to us.


Перевод записки и FAQ на русский язык:
1. 
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Ты можешь сохранить свои файлы.
У тебя есть 48 часов, чтобы заплатить $50 в биткоинах и получить ключ дешифрования.
После 48 все файлы будут удалены, а ключ дешифрования будет уничтожен.
Если у тебя нет биткоинов гугли на сайте buybitcoinworldwide или localbitcoins
Купи 50 долларов за биткоины.
Отправь на биткоин-адрес.
Через несколько минут после получения платежа ваш компьютер получит приложение для расшифровки и вернется в нормальное состояние.
Попробуешь пошутить и ключ дешифрования будет уничтожен вместе с твоим компьютером.
Как только ты заплатишь, отправь email на STYSLA@PROTONMAIL.COM со своим уникальным кодом: "7C8", когда мы получим email, мы пошлем тебе приложение дешифрования.

2.
Вопрос: Можно ли расшифровать мои файлы без оплаты?
Ответ: Нет
В.: Что будет, если я пытаюсь удалить эту программу?
О.: Твое приложение для дешифрования будет уничтожено и все твои файлы будут удалены.
В.: Что, если у меня нет биткоинов?
О.: У нас есть четкие инструкции, как купить биткойны и отправить их нам.

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
windir.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
STYSLA@PROTONMAIL.COM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать Crypt888Decrypter для дешифровки >>
Описание для Crypt888 >>
Декриптер общий для Crypt888 и GrodexCrypt.
Это просто разные версии одного и того крипто-вымогателя. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up by Avast
 * 
 Thanks: 
 Jakub Kroustek
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Gomme

Gomme Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Gomme Ransom. На файле написано: gmm33.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .gommemode

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
=====Gomme Ransom=====
ALL OF YOUR FILES HAVE BEEN ENCRYPTED!
Everything, Music, Documents, Programs etc, has been encrypted!
WARNING: IF YOU RESTART YOUR COMPUTER WE WON’T BE ABLE TO RESTORE YOUR FILES & YOU WILL LOSE THEM FOREVER!
How can I get my files back?
You will need to pay $25, as soon as you did, you will receive your files back.
You will find the 'TOR Browser' on your desktop.
lf you don't own BTC, purchase some at paxful.com or localbitcoins.
SEND THE MONEY TO THIS ADDRESS: 
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Перевод записки на русский язык:
=====Gomme Ransom=====
Все ваши файлы были зашифрованы!
Все, музыка, документы, программы и т.д. были зашифрованы!
Предупреждение. Если вы перезагрузите компьютер, мы не сможем восстановить ваши файлы, и вы потеряете их навсегда!
Как я могу вернуть свои файлы?
Вам нужно будет заплатить 25 долларов, как только вы это сделаете, вы получите свои файлы обратно.
На рабочем столе вы найдете «TOR-браузер».
Если вы не имеете BTC, купите их на paxful.com или localbitcoins.
Отправьте деньги по этому адресу:
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
gmm33.exe
TORBrowser.exe

Расположения:
/Desktop/TORBrowser.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://fatulatti.pro/gommeransom/1231.php
xxxx://fatulatti.pro/gommeransom/btc.txt
Ранее мной с адреса fatulatti.pro/gommeransom/1231.php получен код justajokem9
Сейчас fatulatti.pro/gommeransom/btc.txt - показывает BTC-адрес 3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+ 
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blooper

Blooper Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Blooper. На файле написано: fakeransom. Фальш-копирайт: Microsoft. В заголовке: Bloopers Encrypter 1.0.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают два диалоговых окна и экран блокировки с заголовком Bloopers Encrypter 1.0. Впрочем, он его можно просто вырубить в процессах и удалить. 

Содержание записки о выкупе:
Ops! Look like your files have been encrypted!
What just Happened?
Your files have been encrypted. This indudes your documents, videos, photos, etc.
How can I recover them?
You just need to send a $500 bitcoin to this address:
14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
in 5 hours before the payment will rise to $700. And if you dont pay after another 5 hours, all of your data will be deleted permenantly. Don't try to decrypt the files on your own. It's useless.
We use RSA-2048 encryption method. But if you still want to decrypt it yourself, you can try.
How can I pay?
Payment only accept in bitcoin. If you don't know that bitcoin is. It just a crptocurreny. And if you don't know how to use bitcoin, google it.
How can I trust you?
You dont have other choice, we promise that if you pay, all of your files will be decrypted. But if you don't, we will delete all of your files.
If I have a question?
Click the "Contact Us" button.
Bitcoin Address  14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
Have a question? [Contact Us]

Перевод записки на русский язык:
Упс! Похоже, ваши файлы были зашифрованы!
Что сейчас произошло?
Ваши файлы были зашифрованы. Это относится к вашим документам, видео, фото и т.д.
Как я могу их восстановить?
Вам просто нужно отправить биткоины на $500 по этому адресу:
14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
За 5 часов, иначе платеж вырастет до $700. И если вы не платите еще через 5 часов, все ваши данные будут удалены навсегда. Не пытайтесь дешифровать файлы самостоятельно. Это бесполезно.
Мы используем метод шифрования RSA-2048. Но если вы все еще хотите расшифровать его самостоятельно, вы можете попробовать.
Как я могу заплатить?
Оплата принимается только в биткоинах. Если вы не знаете, что такое биткоин, это просто криптовалюта. И если вы не знаете, как использовать биткоины, погуглите это.
Как я могу доверять тебе?
У вас нет другого выбора, мы обещаем, что если вы заплатите, все ваши файлы будут расшифрованы. Но если вы этого не сделаете, мы удалим все ваши файлы.
Если у меня есть вопрос?
Нажмите кнопку "Contact Us".
Биткоин-адрес 14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
Есть вопрос? [Contact Us]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 

Вымогательский проект изначально был задуман как фейк.

Файлы, связанные с этим Ransomware:
Blooper.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blooper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

TeslaWare

TeslaWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 / AES-256, а затем требует выкуп в 300 евро в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Suicide. Фальш-копирайт: Hewlett-Packard 2017. В доработанной версии требуется выкуп в $100. На файле написано: SystemLDriver86. Фальш-копирайт на файле: Microsoft© Windows©. Вымогатель написан на .NET. Разработчик: WAZIX.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Tesla

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки (ниже представлены два варианта):


Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted with AES 128 bit encryption.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for way to recover your files, but do not waste your time. Nobody can recover your files without our decryption key.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have noy so enough time.
If you want to decrypt your files, you need to pay.
If you dont pay in 7 days, you wont be able to recover your files forever.

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы с использованием AES-128 шифрования.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском путей для восстановления ваших файлов, но не тратьте впустую свое время. Никто не может восстановить ваши файлы без нашего ключа дешифрования.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Если вы хотите расшифровать свои файлы, вам нужно заплатить.
Если вы не заплатите через 7 дней, вы не сможете восстановить ваши файлы никогда.


Скриншоты экрана блокировки доработанной версии

Экран блокировки содержит два таймера. Первый таймер с барабаном от револьвера представляет собой 59-минутный обратный отсчет для русской рулетки «Особенность» TeslaWare. Когда таймер достигнет 0, то TeslaWare удалит 10 случайных файлов с рабочего стола или подпапок жертвы. Второй таймер с черепом, отсчитывает 72 часа, а когда он достигает 0, то TeslaWare удалит все файлы на диске "C".

Новая записка о выкупе находится на экране блокировки, справа.
Содержание этой записки:
All of your important files have been encrypted.
To decrypt them you need to obtain the private key from us. 
We are the only who can provide you the key, so don't try to recover the files by yourself, it will only make the situation worse for you. 
To get this key you have to send 100$ worth of bitcoins to the address that you can see in the left. For more info please check the links.

After payment, please paste the TX ID and press "Check". If our system detected the payment as succesfull, your files will be decrypted and you will use your pc as nothing happened.

Онлайн догружается изображение Николы Теслы и голосовое сообщение. 
Догружаемая картинка

Использованное изображение

Пока продается на сайтах Black Hat (за 35-70 евро в зависимости от настроек), но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме имеющих расширение .Tesla, .lnk, .exe, .dll, .sys
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
TeslaWare.exe
image.jpg
voice.vbs
windowsdrivers.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsDrivers   WindowsDrivers.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
free-stuff-here.netne.net/RW/image.jpg - изображение
free-stuff-here.netne.net/RW/voice.vbs - голосовое сообщение
windowsdrivers.exe  - 145.14.144.171:80 (Нидерланды)
deos.esy.es
btc.blockr.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ файла от 20 июня >>
VirusTotal анализ >> Ещё >> 
VT от 20-22 июня >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 21 июня 2017:
Статья на BC >>
Алгоритм шифрования: AES-256
Файл: windowsdrivers.exe
Результаты анализов: HA+VT


Внимание! Дешифровка возможна! 
Многочисленные недостатки позволяют бесплатно дешифровать файлы. 
За помощью в дешифровке файлов обращайтесь в эту тему поддержки. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TeslaWare)
 Write-up, Topic of Support
 * 
 Thanks: 
 JAMESWT‏ 
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 29 мая 2017 г.

R3store

R3store Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $450 в BTC, чтобы вернуть файлы. Оригинальное название: R3store. Фальш-имя: Windows-Restore. Фальш-копирайт: Mircrosoft © 2017
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> R3store 

К зашифрованным файлам добавляется расширение .r3store

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Другим информатором жертвы выступает экран блокировки с заголовком: Restore.

Содержание текста о выкупе:
Your Files are encrypted. 
(Pictures,Docs,Music etc..) Please do not close this window as that will result in serious computer damage. If you wish to use your computer ever again and unlock your files, Please send $450 Dollars in bitcoins to the address at the bottem of the page.
F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Can i pay with anything else?
Encrypted Files.
How to buy Bitcoins?
I paid,Give me my files back!

Перевод текста на русский язык:
Ваши файлы зашифрованы.
(Картинки, документы, музыка и т.д.). Не закрывайте это окно, т.к. это приведёт к серьёзному повреждению компьютера. Если вы хотите снова использовать свой компьютер и разблокировать свои файлы, пожалуйста, отправьте 450 долларов США в биткоинах по адресу в нижней части страницы.
F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
[Могу ли я заплатить что-то еще?]
[Зашифрованные файлы.]
[Как купить биткойны?]
[Я заплатил, верни мне мои файлы!]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Restore.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ImSorry

ImSorry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: ImSorry.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .imsorry

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read me for help thanks.txt
Другим информатором жертвы является экран блокировки.

Содержание текста о выкупе:
Im Sorry
Hello, I hate to inform you but your files have been encrypted.
To get them back you must pay me a small fee.
Instructions are buy btc then pay me then ill simply give you. your encryption key.
Step 1.
Make a account here
https://blockchain.info/wallet/#/signup
Step 2.
Buy bitcoin
Use one of the trade centers below to recieve bitcoin to pay me off
https://www.coinbase.com/
https://1ocalbitcoins.com/register/
Step 3.
Send the payment of 500 USD to the BTC address below
then i'll give you the key.
Places you can read about bitcoin
https://blog.newegg.comAhe-fastest-way-to-get-started-with-bitcoin/
https://bitcoin.ong/en/getting-started
You have 3 weeks to pay else i might delete the key or i might just give you the key idk
Be sure you put your btc address in the box below as this is how i track payments,
if you fuck around ill delete your key.
Once again,Sorry
button [I've Paid]
[Key goes here]
button [Decrypt Files]
BTC Address: 17JbNMFQeeSm6B5BM2zzoEeZ1o9x74JCsF
Your Address: Your adress goes here to check payment
button [Delete Backups]

Перевод текста на русский язык:
Прости
Привет, я ненавижу сообщать вам, но ваши файлы были зашифрованы.
Чтобы вернуть их, вы должны заплатить мне небольшую сумму.
Инструкции - это купить btc, заплатить мне, а потом просто дам вам ваш ключ шифрования.
Шаг 1.
Сделать учетную запись здесь
https://blockchain.info/wallet/#/signup
Шаг 2.
Купить биткоины
Используйте один из торговых центров ниже, чтобы получить биткоины для оплаты мне
https://www.coinbase.com/
https://1ocalbitcoins.com/register/
Шаг 3.
Отправьте платеж в размере 500 долларов США на BTC-адрес ниже
Тогда я дам вам ключ.
Места, которые вы можете прочитать о биткоинах
https://blog.newegg.comAhe-fastest-way-to-get-started-with-bitcoin/
https://bitcoin.ong/en/getting-started
У вас есть 3 недели, чтобы заплатить, иначе я могу удалить ключ, или я могу просто дать вам ключ idk
Убедитесь, что вы поместите свой адрес btc в поле ниже, так как я отслеживаю платежи,
Если вы ***, удалите свой ключ.
Еще раз извините
кнопка [I've Paid]
[Key goes here]
кнопка [Decrypt Files]
BTC-адрес: 17JbNMFQeeSm6B5BM2zzoEeZ1o9x74JCsF
Ваш адрес: ваш адрес вставьте сюда, чтобы проверить платеж.
кнопка [Delete Backups]


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read me for help thanks.txt
ImSorry.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Июль 2018:
Спустя год еще проявляет активность. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ImSorry)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *