CryptXXX, CryptXXX 2.0

CryptXXX Ransomware

CryptXXX 2.0 Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA4096, а затем требует выкуп в 1.2 BTC (на момент публикации это было равно $500), чтобы вернуть файлы.  Если выкуп не оплачен в течение определенного периода времени, то сумма возрастает в два раза, т.е. до 2,4 BTC. Если выкуп не уплачен в срок, закрытый ключ будет навсегда удален и тогда расшифровка файлов будет невозможна. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptXXX > CryptXXX 2.0 > CryptXXX 3.0 > CryptXXX 4.0

К зашифрованным файлам добавляется расширение .crypt

Ранняя активность этого крипто-вымогателя пришлась на середину апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Скриншоты и описание

Записки с требованием выкупа называются:
de_crypt_readme.txt
de_crypt_readme.bmp
de_crypt_readme.html

Размещаются в каждой папке, содержащей зашифрованные файлы. 

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола и сайт оплаты выкупа:

 

Основная записка о выкупе

Изображение, встающее обоями рабочего стола 

Сайт с условиями оплаты, поддерживающий 11 языков 

(EN, IT, FR, ES, DE, JP, NL, PL, PT, TR, CN)

Содержание основной записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.qooqle.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id D78*****E87
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxxs://torproject.org/projects/torbrowser.html.en
2. Video instruction: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. After a successful installation, run the browser
4. Type in the address bar: http://rp4roxeuhcf2vgft.omon
5. Follow the instructions on the site.

Перевод основной записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.qooqle.com
Что случилось с твоими файлами?
Все твои файлы были защищены сильным шифрованием с RSA4096
Более подробную информацию о ключах шифрования с помощью RSA4096 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
Как это произошло?
!!! Специально для твоего ПК был создан личный ключ RSA4096, открытый и закрытый.
!!! ВСЕ ТВОИ ФАЙЛЫ были зашифрованы открытым ключом, который был передан на твой компьютер через Интернет.
!!! Расшифровка твоих файлов возможна только с помощью секретного ключа и программы расшифровки, которые находятся на нашем секретном сервере.
Что мне делать ?
Итак, ты можешь выбрать два способа: дождаться чуда и получить двойную цену или начать получать BITCOIN СЕЙЧАС! , и легко восстановить твои данные. Если ты ценишь свои данные, то лучше не тратить время, т.к. нет другого способа получить твои файлы, кроме оплаты.
Твой личный идентификатор D78*****E87
Для получения более конкретных инструкций, посети свою личную домашнюю страницу, есть несколько разных адресов, указывающих на твою страницу ниже:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
Если по каким-либо причинам адреса недоступны, выполни следующие действия:
1. Загрузи и установи tor-браузер: xxxxs://torproject.org/projects/torbrowser.html.en
2. Видео-инструкция: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. После успешной установки запусти браузер
4. Введи в адресную строку: http://rp4roxeuhcf2vgft.omon
5. Следуй инструкциям на сайте.

Технические детали

CryptXXX распространяется путём взлома с помощью email-спама и вредоносных вложений, обманных загрузок, набора эксплойтов Angler EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👉 15 апреля 2016 года, исследователи Proofpoint заметили, что троян-загрузчик Bedep загружает набор эксплойтов Angler и банковский троян Dridex 222. Им стало ясно, что для распространения CryptXXX злоумышленники используют набор эксплойтов Angler и Bedep, загружающий других троянов на зараженные системы и инициирующий мошеннические клики. Позже установлена связь CryptXXX и группы Reveton Team. 

Дополнительный функционал CryptXXX 
Проверяет имя процессора в системном реестре.
Проверяет работу в виртуалке, а также наличие отладчиков и инструментов анализа. 
Устанавливает процедуру для мониторинга событий мыши и её заменителей.
Собирает данные об установленных на ПК приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. 
Похищает с компьютера биткоины, пароли, учетные данные и другую важную информацию. 

По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям Angler EK, троянов Bedep и Reveton. Они также предполагает, то CryptXXX вскоре получит большее распространение.

Подробности работы цепочки "выкуп-дешифровка" см. на сайте Proofpoint.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Расположения:
%AppData%
%Temp%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
146.0.42.68 - сервер CryptXXX 
104.193.252.245 - IP C&C Bedep 
rp4roxeuhcf2vgft.onion.to - сайт оплаты
rp4roxeuhcf2vgft.onion.cab - сайт оплаты
rp4roxeuhcf2vgft.onion.city - сайт оплаты
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 января 2018:
Пост в Твиттере >>
Расширение: .crypt
Записка: de_crypt_readme.html
Результаты анализов: VT + VB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать RannohDecryptor для дешифровки >>
Работает только для CryptXXX и CryptXXX 2.0
*

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as CryptXXX + 2.0, 3.0, 4.0)
 Write-up by Proofpoint, Write-up on BC
 * 

SecureList: Dridex: A History of Evolution (add. May 25, 2017)

 Thanks: 
 Kafeine (Proofpoint)
 Michael Gillespie
 KasperskyLab
 Lawrence Abrams
 Symantec 

© Amigo-A (Andrew Ivanov): All blog articles.

Rokku

Rokku Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Salsa20, а затем требует выкуп в 0,2403 Bitcoin (эквивалентно $100,29), чтобы вернуть файлы обратно. C течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. 

К зашифрованным файлам добавляется расширение .rokku 

Активность этого криптовымогателя пришлась на март-апрель 2016 г. 

О шифровании с помощью Salsa20
Каждый файл шифруется своим уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это уже второй крипто-вымогатель, использующий алгоритм Salsa20 (ещё Petya Ransomware его использует), который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой индивидуальный ключ.

ВАЖНО!!! Никогда не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа от этого только возрастёт. 

 Записки с требованием выкупа называются README_HOW_TO_UNLOCK.html и README_HOW_TO_UNLOCK.txt помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.

Директория размещения записок о выкупе

Зашифрованные файлы с расширениями .rokku

Запущенный пользователем Rokku сканирует ПК в поиске файлов определенных расширений (документы, фотографии, аудио-видео-файлы и пр.), размером ниже 30 Мб и начинает шифрование файлов. По окончании шифрования жертва информируется о произошедшем с помощью записок о выкупе. 

TXT-вариант записки о выкупе

 Содержание записки о выкупе: 
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.

 Перевод записки на русский язык: 
ВАШ ФАЙЛ ЗАБЛОКИРОВАН
Для разблокировки файлов следуйте инструкциям ниже:
1. Скачайте и установите Tor Browser
2. После успешной установки запустите Tor Browser и ждите его инициализации.
3. Введите в адресной строке: HTTP: //zvnvp2rhe3ljwf2m.onion
4. Следуйте инструкциям на сайте.

HTML-вариант записки о выкупе

От жертвы требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по уплате выкупа. 

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. 

Окно onion-сайта UNLOCK SERVICE

Вымогатели позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.

Окно декриптера для выбора одного файла

 Распространяется с помощью email-спама и вредоносных вложений, загружаемых с помощью одноранговой (P2P) сети файлов, троянских загрузчиков и поддельных обновлений программного обеспечения. 

QR-код для отправки Bitcoin

Кажется это первый случай, когда кибер-преступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество биткоинов.

Все теневые копии файлов и точки восстановления системы удаляются.

Файлы Rokku пока не замечены в местах автозагрузки или любых других директориях, кроме записок от вымогателей. Это означает, что нет активной инфекции, когда ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, нужно проверить компьютер антивирусным ПО с актуальным набором антивирусных баз. Записки о выкупе нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Список файловых расширений, подвергающихся шифрованию: 
.001, .1dc, .3ds, .3fr, .7z, .a3s, .acb, .acbl, .accdb, .act, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .aia, .aif, .aiff, .aip, .ait, .anim, .apk, .arch00, .ari, .art, .arw, .asc, .ase, .asef, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .bgeo, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .c4d, .cap, .cas, .catpart, .catproduct, .cdr, .cef, .cer, .cfr, .cgm, .cha, .chr, .cld, .clx, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cxx, .d3dbsp, .das, .dat, .dayzprofile, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .dcs, .der, .desc, .dib, .dlc, .dle, .dlv, .dlv3, .dlv4, .dmp, .dng, .doc, .docm, .docx, .drf, .dvi, .dvr, .dwf, .dwg, .dxf, .dxg, .eip, .emf, .emz, .epf, .epk, .eps, .eps2, .eps3, .epsf, .epsp, .erf, .esm, .fbx, .ff, .fff, .fh10, .fh11, .fh7, .fh8, .fh9, .fig, .flt, .flv, .fmod, .forge, .fos, .fpk, .fsh, .ft8, .fxg, .gdb, .ge2, .geo, .gho, .gz, .h, .hip, .hipnc, .hkdb, .hkx, .hplg, .hpp, .hvpl, .hxx, .iam, .ibank, .icb, .icxs, .idea, .iff, .iiq, .indd, .ipt, .iros, .irs, .itdb, .itl, .itm, .iwd, .iwi, .j2k, .java, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .k25, .kdb, .kdc, .kf, .kys, .layout, .lbf, .lex, .litemod, .lrf, .ltx, .lvl, .m, .m2, .m2t, .m2ts, .m3u, .m4a, .m4v, .ma, .map, .mat, .max, .mb, .mcfi, .mcfp, .mcgame, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdlp, .mef, .mel, .menu, .mkv, .mll, .mlx, .mn, .model, .mos, .mp, .mp4, .mpqge, .mrw, .mrwref, .mts, .mu, .mxf, .nb, .ncf, .nef, .nrw, .ntl, .obm, .ocdc, .odb, .odc, .odm, .odp, .ods, .odt, .omeg, .orf, .ott, .p12, .p7b, .p7c, .pak, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php4, .php5, .pic, .picnc, .pkpass, .png, .ppd, .ppt, .pptm, .pptx, .prj, .prt, .prtl, .ps, .psb, .psd, .psf, .psid, .psk, .psq, .pst, .ptl, .ptx, .pwl, .pxn, .pxr, .py, .qdf, .qic, .r3d, .raa, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtg, .rvt, .rw2, .rwl, .rwz, .sav, .sb, .sbx, .sc2save, .sdf, .shp, .sid, .sidd, .sidn, .sie, .sis, .skl, .skp, .sldasm, .sldprt, .slm, .slx, .slxp, .snx, .soft, .sqlite, .sqlite3, .sr2, .srf, .srw, .step, .stl, .stp, .sum, .svg, .svgz, .swatch, .syncdb, .t12, .t13, .tar, .tax, .tex, .tga, .tif, .tiff, .tor, .txt, .unity3d, .uof, .uos, .upk, .vda, .vdf, .vfl, .vfs0, .vpk, .vpp_pc, .vst, .vtf, .w3x, .wallet, .wav, .wb2, .wdx, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xl, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xvc, .xvz, .xxx, .ycbcra, .yuv, .zdct, .zip, .ztmp (378 расширений). 

Директории, пропускаемые шифровальщиком: 
$recycle.bin
system volume information
windows.old
$windows.~bt
windows
windows
locallow
local
roaming
programdata
program files
program files (x86)

Файлы, пропускаемые шифровальщиком: 
thumbs.db
iconcache.db
bootsec.bak

Файлы, связанные с Ransomware: 
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT
%USERPROFILE%\Desktop\README_HOW_TO_UNLOCK.HTML
%USERPROFILE%\Documents\README_HOW_TO_UNLOCK.TXT
и другие, см. Malwr анализ ниже. 

Подробный анализ Rokku см. в блоге MalwareBytes. По их мнению он связан с Chimera Ransomware.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, зашифрованных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии или переносного бэкапа.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Radamant 1.0, 2.0, 2.1

Radamant Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: DirectX.exe, StubNew.exe

© Генеалогия: Radamant > Radamant 2 

К зашифрованным файлам добавляется расширение: 
.RDM -  в 1-й версии;
.RRK - во 2-й версии;
.RADAMANT - в 2.1 версии;
.RAD - в версии марта-апреля 2016.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г., продолжилась до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Если зараженный компьютер принадлежат к одной из следующих стран, автоматический запускается процесс расшифровки всех файлов с расширением .RADAMANT: 
Беларусь
Казахстан
Россия
Украина

Текстовой записки с требованием выкупа нет, вместо неё на рабочем столе создаётся ссылка YOUR_FILES.url, которая ведёт на сайт оплаты выкупа. На сайте интерфейс представлен на 8 языках, в том числе на русском. 

 

Содержание страницы о выкупе:
Attention! What happened?
All your files on hard drives, removable media and network shares have been cryptographically encrypted AES-256 algorithm encryption key RSA-2048
Expansion of encrypted files: .RDM
To date, the encryption algorithm AES-256 is not possible decrypt.
Learn more about the algorithm can be here: Wikipedia
What to do?
The key to decrypt your files stored on our server. For decrypt the need to make a few simple steps:
1 Create Bitcoin Wallet
We recommend: blockchain.info
2. Get cryptocurrency Bitcoin
We recommend:
1) localbitcoins com - (Visa/MasterCard, QIWI Visa Wallet, Any Bank and etc.)
2) btc-e.com (WebMoney, Visa/MasterCard and etc. )
3. Send 0.5 BTC (227.37 USD) to the address: *****
Attention! When sending a small amount bitcoin of the transaction will not be counted!
4. After payment confirmation expected transaction from 15 minutes to 72 hours
5. After payment of this page will automatically notify you of the beginning of the decryption of files
We strongly recommend not to disconnect the power supply, as well as to extract the encrypted electronic data earners!
If you remove the removable media before decryption, connect them again and confirm "RESCAN".
After performing these actions will remove the program from your computer
To carry out actions you have:*
***timer***
At the expiry of the time redemption amount will be increased. Please make payment in a tímely. 
DANGEROUS! 
Do not try to cheat the system, edit encrypted files, or uninstall. This will result in the inability to recover your data, and we can not help you. 
We recommend:
1 Bitcoin FAQ: blockchain.info
2. Bitcom wallet FAQ: blockchain.info
You can contact us by e-mai to assist in payment and explanation of the 1 test fie free.
E-mail: *****
RADAMANT RANSOMWARE KIT

Перевод страницы на русский язык:
Внимание! Что случилось?
Все ваши файлы на жестких дисках, сменных носителях и сетевых папках были криптографически зашифрованы AES-256 алгоритм шифрования ключа RSA-2048
Расширение зашифрованных файлов: .RDM
На сегодняшний день алгоритм шифрования AES-256 невозможно дешифровывать.
Узнать об алгоритме можно здесь: Википедия
Что делать?
Ключ для дешифровки файлов хранится на нашем сервере. Для расшифровки нужно сделать несколько простых шагов:
1 Создать Bitcoin-кошелек
Мы рекомендуем: blockchain.info
2. Получить криптовалюту Bitcoin
Мы рекомендуем:
1) localbitcoins COM - (Visa / MasterCard, Visa QIWI Кошелек, любой банк и т.д.)
2) btc-e.com (WebMoney, Visa / MasterCard и т.д.)
3. Отправить 0,5 BTC (227.37 USD) на адрес: *****
Внимание! При отправке меньшего количества Bitcoin сделки не будут учитываться!
4. После подтверждения оплаты ожидается транзакция от 15 минут до 72 часов
5. После оплаты эта страница будет автоматически уведомлять вас о начале дешифровки файлов
Мы очень рекомендуем не отключать электропитание, а также для извлечения зашифрованных электронных добытчиков данных!
Если вы удалили съемный носитель перед дешифровкой, подключите его снова и подтвердите "Rescan".
После выполнения этих действий будет произведено удаление программы с компьютера
Для выполнения действий, у вас есть:
***таймер***
По истечении времени сумма выкупа будет увеличена. Пожалуйста сделайте оплату вовремя.
ОПАСНО!
Не пытайтесь обмануть систему, редактировать зашифрованные файлы или удалить. Это приведет к невозможности восстановить ваши данные, и мы не сможем вам помочь.
Мы рекомендуем:
1 Bitcoin FAQ: blockchain.info
2. Bitcom-кошелек FAQ: blockchain.info
Вы можете связаться с нами по email для помощи по оплате и бесплатной расшифровки 1 тестового файла.
Эл. адрес: *****
RADAMANT RANSOMWARE KIT

Текст из окна дешифровщика:
Now begins the decryption of your files! Do not turn off the power and turn on the carriers that have been encrypted! When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифровка файлов! Не выключайте питание и подключите носители, что были зашифрованы! Будете готовы, жмите "OK".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в том числе фальшивых PDF), набора эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются все теневые копии файлов командой:
process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

Список файловых расширений, подвергающихся шифрованию:
.0,36, .0,411,.1cd, .1st, .2bp, .3dm, .3ds, .3fr, .4db, .4dl, .4mp, .73i, .8xi, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .apng, .aps, .apt, .apx, .art, .art, .artwork, .arw, .arw, .asc, .ascii, .ase, .ask, .asw, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bib, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bzabw, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .cr2, .crd, .crd, .crwl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .design, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djv, .djvu, .djvu, .dm3, .dmi, .dmo, .dnc, .dne, .doc, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .erf, .err, .err, .etf, .etx, .euc, .exr, .fadein, .fal, .faq, .fax, .fb2, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fic, .fid, .fif, .fig, .fil, .fil, .flc, .fli, .flr, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpt, .fpx, .frt, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gif, .gih, .gim, .gio, .gio, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gsd, .gthr, .gtp, .gv, .gwi, .hbk, .hdb, .hdp, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hs, .htc, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jp2, .jpe, .jpe, .jpeg, .jpeg, .jpeg, .jpg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .klg, .knt, .kon, .kpg, .kwd, .latex, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m3d, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5txt, .mdb, .mdbhtml, .mdf, .mdn, .mdt, .me, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .movie.byu, .mpf, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nsf, .nv2, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odm, .odo, .ods, .odt, .ofl, .oft, .omf, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p7s, .p96, .p97, .pages, .pal, .pan, .pano, .pap, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pcx, .pcx, .pdb, .pdb, .pdb, .pdd, .pdf, .pdm, .pdn, .pdn, .pe4, .pe4, .pef, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pm, .pmg, .pmg, .png, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .ps, .ps, .psd, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .readme, .rft, .rgb, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtf, .rtx, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .sct, .scv, .scw, .sdb, .sdb, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssfn, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svg, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tb0, .tbn, .tcx, .tdf, .tdf, .tdt, .te, .teacher, .tex, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tif, .tiff, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmd, .tmv, .tmx, .tn, .tne, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unx, .uof, .uot, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .vw, .wb1, .wbc, .wbd, .wbk, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wmdb, .wmf, .wmf, .wn, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpd, .wpe, .wpg, .wpl, .wps, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsm, .xlsx, .xmind, .xmmap, .xpm, .xps, .xwp, .xwp, .xwp, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z3d, .zabw, .zdb, .zdc, .zif, .zw (944 расширения).

В версии 2.1 список расширений см. в скриншоте:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые файлы и пр.

Файлы, связанные с этим Ransomware:
%Desktop%\YOUR_FILES.url
C:\Windows\directx.exe
%AppData%\Roaming\DirectX.exe
zero.exe
build.exe
aaa.bat
%User%\Documents\random_folder\r1.exe.exe
%Temp%\<random>.exe
%Temp%\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
crazytrevor.com
crazytrevor.in
checkip.dyndns.org
tangotangocash.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >> Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер!

Скачать декриптер для Radamant (.RDM и .RRK) >>

 Read to links: 
 Topic on BC (Support and Help)
 ID Ransomware (ID as Radamant, Radamant v2.1)
 Write-up
 Write-up (analysis)
 *

 Thanks: 
 Lawrence Abrams
 Fabian Wosar
 Michael Gillespie
 Mosh on Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

PowerWare

PowerWare Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC-режим), а затем требует посетить Tor-сайт вымогателей, чтобы ознакомиться с инструкциями, заплатить выкуп $500 в биткоинах, чтобы вернуть файлы. Через неделю после шифрования сумма удваивается до $1000. Шифрование выполняется, используя Windows PowerShell. Название получил от сложения слов PowerShell и Ware в описании исследователей из Carbon Black. 

© Генеалогия: PowerShell Locker 2015 > PowerWare > FTCODE

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: FILES_ENCRYPTED-READ_ME.HTML

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1.xxxp://v2aahacan6ed564p.onion.nu
Please scroll below for your #UUID
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: v2aahgcan6ed564p.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: xxxp://v2aahqcan6ed564p.onion.nu
Your Home PAGE(using TOR): 3afd57c4dchzp3pe.onion
Please scroll below for your #UUID
---
Your #UUID is MNfYUEmu30dlgv5jnIPoD9akc
The price to obtain the decrypter goes from 500$ to 1000$ on the day of 04/01/2016 02:37:20

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием с RSA-2048.
Более подробную информацию о ключах шифрования с помощью RSA-2048 можно найти здесь: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
Что это значит?
Это значит, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
Как это произошло?
Специально для Вас, на нашем сервере был создан парный секретный ключ RSA-2048 - открытый и секретный.
Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет.
Дешифровать файлов можно только с помощью секретного ключа и декриптера, находящихся на нашем секретным сервере.
Что мне делать?
Увы, если не принять нужные меры в заданное время, то будут изменены условия для получения секретного ключа.
Если вы точно цените свои данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет.
---
Более подробные инструкции, пожалуйста, посетите домашнюю страницу:
1.xxxp://v2aahacan6ed564p.onion.nu
Пожалуйста, прокрутите ниже для вашего #UUID
---
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите TOR-браузер: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: v2aahgcan6ed564p.onion
4. Следуйте инструкциям на сайте.
---
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша домашняя страница: xxxp://v2aahqcan6ed564p.onion.nu
Ваша домашняя страница (с использованием ТЗ): 3afd57c4dchzp3pe.onion
Пожалуйста, прокрутите ниже для вашего #UUID
---
Ваш #UUID является MNfYUEmu30dlgv5jnIPoD9akc
Цена для получения Decrypter идет от 500 $ до 1000 $ в день 04/01/2016 02:37:20

В записке о выкупе в качестве алгоритма шифрования указан RSA-2048 для устрашения пострадавшей стороны. 

Распространяется с помощью email-спама и вредоносных вложений (например, Invoice 2016-M.docm, Faktura_2016-M.doc, Invoice 2016.zip, Invoice_2016_M.lnk и пр.), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


PowerWare маскируется под документы Microsoft Word в качестве счета-фактуры. 

При открытии этого файла предлагается включить макрос, якобы для правильного отображения содержимого документа. Если пользователь разрешит это действие, то будет создан процесс cmd.exe и вызван Windows PowerShell для загрузки и запуска вредоносного скрипта с сайта вымогателей. Таким образом вредоносную работу выполняет PowerShell, который не надо загружать из Интернета, потому что он компонент системы. 

После шифрования файлов PowerWare оставляет записки о выкупе в каждой папке с зашифрованными файлами, в которых подробно расписано как пострадавший пользователь может получить свои файлы обратно. Затем крипто-вымогатель самоликвидируется. 

На Tor-сайте вымогателей приведены инструкции по покупке биткоинов и передаче их вымогателям. Есть функция предварительной дешифровки файлов, чтобы доказать наличие работающего декриптера. 

Обманчивая простота в коде и "бестелесность" PowerWare представляет собой новый подход к производству программ-вымогателей. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx,  .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds,  .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spf, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xpi, .xpt, .xtwx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 
Это документы MS Office, PDF, базы данных, фотографии, анимация, музыка, видео, архивы, файлы налоговых деклараций, Adobe Photoshop, CorelDRAW и пр.

Файлы, связанные с этим Ransomware:
FILES_ENCRYPTED-READ_ME.HTML
Invoice 2016-M.docm
Faktura_2016-M.doc
Invoice 2016.zip
Invoice_2016_M.lnk
<random>.exe
<random>.tmp
<random>.lnk
<random>.docm
<random>.doc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
skycpa.in/pi.php
piecelaw.top
ruttslaw.work
104.131.129.248
162.243.240.178

Результаты анализов:
Гибридный анализ на инвойс >>
VirusTotal анализ на инвойс >>
Malwr анализ >>

По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью. Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе. Но так как известно немало случаев воровства цифровой подписи или получения её мошенниками, то лучше вообще отключить использование в Windows работу PowerShell как компонента. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware
 Write-up
 *
 *

 Thanks: 
 Carbon Black
 Trend Micro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.