CryptoRoger

CryptoRoger Ransomware

(шифровальщик-вымогатель)

   Это криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп 0.5 биткоинов за дешифровку. 

К зашифрованным файлам добавляется расширение .crptrgr. 

Записка с требованием выкупа называется !Where_are_my_files!.html 

  В ней содержатся инструкции, по которым нужно скачать и установить мессенжер Tox и связаться через него с вымогателями по специальному ID. 

Перевод записки на русский язык:
Сожалею, но возникла проблема :(
Файлы на вашем ПК надежно зашифрованы
не волнуйтесь, есть решение
Цена дешифровки файлов - 0,5 Bitcoin (~$360)
(Но если вы будете вести себя неразумно цена вырастет в несколько раз.)
Чтобы получить Bitcoin-адрес для оплаты пишите мне в uTox.
Можно БЕСПЛАТНО дешифровать 1 файл, пришлите его мне в uTox.

  CryptoRoger добавляет в автозагрузку свой специальный файл с расширением .VBS . Это позволяет после входа пользователя в систему шифровать любые вновь созданные файлы. Также требуется отправить вымогателям специальный файл keys.dat

  На каждый зашифрованный файл берется MD5-хэш исходного файла и сохраняется вместе с именем файла в файл %AppData%\files.txt . 

Файлы, связанные с CryptoRoger Ransomware: 
!Where_are_my_files!.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
%AppData%\bg.jpeg
%AppData%\files.txt
%AppData%\keys.dat
%UserProfile%\CryptoRoger\[ransomware_exec].exe

Записи реестра, связанные с CryptoRoger Ransomware:
HKCU\Software\CryptoRoger\
HKCU\Software\CryptoRoger\AESFORUPRIVATE
HKCU\Software\CryptoRoger\UPRIV

Степень распространенности: низкая.
Подробные сведения собираются. 

Kozy.Jozy

Kozy.Jozy Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы. 

Текст с экрана: 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

с использованием очень стойкого алгоритма RSА-2048.

Попытки восстановить файлы самостоятельно приведут лишь

к их безвозвратной порче. Если же они вам нужны то

отправьте один из пострадавших файлов на ящик

kozy.jozy@yahoo.com

К зашифрованным файлам добавляется расширение со сложным названием:

.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20

.31392E30362E32303136_ (0-20) _ZHM1

.31342E30362E32303136_ (0-20) _KTR1

В начале также могут быть другие цифры, а в конце другие буквы. 

Kozy.Jozy удаляет теневые копии файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Список файловых расширений, подвергающихся шифрованию:

cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...

К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.

Степень распространенности: низкая.

Подробные сведения собираются. 

Dr. Jimbo

Dr. Jimbo Ransomware 

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей, а затем требует связаться с вымогателями по email dr.jimbo@bk.ru для получения инструкций по оплате выкупа и в течение 48 часов после шифрования. 

Зашифрованные файлы получают расширение .encrypted. 

Сумма выкупа пострадавшими называется разная — 2-3 биткоина. 

© Генеалогия: Apocalypse > Dr. Jimbo

  Записка о выкупе называется How_To_Decrypt.txt:

Такая записка создается на каждый зашифрованный файл. 

Степень распространенности: низкая.
Подробные сведения собираются. 

CryptoShocker

CryptoShocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 200 долларов в биткоинах, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. 

Зашифрованные файлы получают расширение .locked. 

  На рабочем столе создается ярлык ATTENTION.url (ссылка на сайт вымогателей в сети TOR). На этом сайте укзана почта для связи с вымогателями cryptoshocker@tutanota.com

Примечательно, что CryptoShocker рекламирует Bitcoin-сервисы по обмену, в комплекте с их логотипами.

Определяется TrendMicro как RANSOM_CRYPSHOCKER.A

Степень распространенности: низкая.
Подробные сведения собираются. 

NegozI

Negozl Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 и SHA256, а затем требует 5 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: HiddenTear >> NegozI

Зашифрованные файлы получают расширение .evil. 

Содержание записки о выкупе: 

All your files have been encrypted with NegozI Ransomware. 

For each file unique, strong key. Algorithm AES256

All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.

All your actions are traced and known to us.

If you do not make payment within 5 days, you will lose the ability to decrypt them.

Make your Bitcoin Wallet on: https://www.coinbase.com/ , https://block.io or http://blockchain.info 

How to buy /sell and send Bitcoin: 

1)https://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles 

2)https://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles 

3)https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles 

After the payment, send the wallet from which paid and your uniq ID to mail : never@bull.me

After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы зашифрованы NegozI вымогателей.
Для каждого файла уникальный, стойкий ключ. Алгоритм AES256
Все попытки восстановить файлы самому, приведут к их повреждению, и мы потом не сможем вам помочь.
Все ваши действия контролируются нами.
Если вы не платите за 5 дней, то потеряете возможность расшифровывать их.
Создайте свой Bitcoin-кошелёк: www.coinbase.com, block.io или blockchain.info
Как купить / продать и отправить Bitcoin:
1) https://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2) https://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты пришлите номер кошелька, с которого платили и ваш ID на never@bull.me
После получения оплаты, мы свяжемся с вами, дадим дешифровщик и FAQ как дешифровать файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .css, .csv, .doc, .docx, .dwf, .dwg, .frm, .html, .jpeg, .jpg, .js, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbo, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .txt, .xls, .xlsx, .xml (38 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр. 

Файлы, связанные с этим Ransomware:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: never@bull.me

Степень распространенности: низкая.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
Или изучите статью по этой ссылке >> 

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as NegozI)
 Write-up, Topic of Support
 * 

 Thanks: 
 victim in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crypt38

Crypt38 Ransomware

   Этот криптовымогатель шифрует данные пользователей с помощью AES, а затем требует 1000 рублей или ~15 долларов, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. Зашифрованные файлы получают расширение .crypt38. 

  Regist Ransomware ориентирован на русскоязычных пользователей, т.к. блокировщик экрана на русском языке. 

Почта вымогателей regist3030@yandex.ru

Вместо записки о выкупе используется блокировщик экрана. 

  Crypt38 добавляется в автозагрузку системы. Каждый раз при запуске проверяет, находится ли его копия в директории %Appdata%\Microsoft\Windows\lsass.exe. 
И если её там нет, то создаёт заново. 

Crypt38 сканирует все диски в следующем порядке:
C:\, D:\, E:\, Z:\, Y:\, X:\, W:\, V:\, F:\, G:\, H:\, I:\, J:\, K:\, U:\, T:\, S:\, R:\, Q:\, L:\, М:\, N:\, O:\, P:\, A:\, B:\. 

  Это существенно замедляет процессы шифрования и дешифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .html, .rtf, .dwg, .cdw, .max, .psd, .3dm, .3ds, .dxf, .ps, .ai, .svg, .indd, .cpp, .pas, .php, .cs, .py, .java, .class, .fla, .pl, .sh, .jpg, .jpeg, .jps, .bmp, .tiff, .avi, .mov, .mp4, .amr, .aac, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .accdb, .odt, .odp, .odx, .ibooks, .xlp, .db, .dbf, .mdf, .sdf, .mdb, .sql, .rar, .7z, .zip, .vcf, .cer, .csr, .torrent, .otl, .report, .key, .csv, .xml (65 расширений). 

Файлы вымогателя:
%Appdata%\lsass.exe - копия себя
%Appdata%\request.bin – содержит ID жертвы
%Appdata%\encrypted

Папка, созданная вымогателем:
{root drive} \ow4386747

Ключ реестра вымогателя:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значение: lsass
%Appdata%\lsass.exe

Анализ от Fortinet >>>

К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа. 

За помощью в дешифровке обращайтесь на форум bleepingcomputer.com

Степень распространенности: низкая.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть дешифровщик.

Скачать дешифровщик для Crypt38

UCCU

UCCU Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп в биткоинах. 

К зашифрованным файлам добавляется расширение .uccu

Название получил от комментария "uccu" в свойствах файла и одноимённого расширения, добавляемого к зашифрованным файлам.  Что означает "uccu" пока неизвестно. 

Исполняемый файл содержит в имени нецензурную брань fuckgod_jesu_crypt.exe

После запуска UCCU прописывается в автозагрузку системы, чтобы продолжать шифрование и демонстрировать требования о выкупе. По завершении шифрования вредонос удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.png .3dm .3g2 .3gp .aaf .accdb .aep .aepx .aet .ai .aif .arw .as .as3 .asf .asp .asx .avi .bay .bmp .cdr .cer .class .cpp .CR2 .crt .CRW .cs .csv .db .dbf .dcr .der .dng .doc .docx .docb .docm .dot .dotm .dotx .dwg .dxf .dxg .efx .eps .erf .fla .flv .idml .iff .indb .indd .indl .indt .inx .jar .java .jpeg .jpg .kdc .m3u .m3u8 .m4u .max .mdb .mdf .mef .mid .mov .mp4 .mpa .mp3 .mpeg .mpg .mrw .msg .NEF .nrw .odb ODC-.odm .odp .ods .odt .orf .p12 .P7B .p7c .pdb .pdf .pef .pem .pfx .php .plb .pmd .pot .potm .potx .ppam .ppj .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prproj .ps .psd .pst .ptx .r3d .ra .raf .rar .raw .rb .rtf .rw2 .rwl .sdf .sldm .sldx .sql .sr2 .srf .srw .svg .swf .tif .vcf .vob .wav .wb2 .wma .wmv .wpd .x3f .xla WPS-.xlam .xlk .xll .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .zip

Степень распространенности: не определена.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

DEDCryptor

DEDCryptor Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 + RSA для защиты пароля, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. Ключ дешифрования будет хранится только 24 часа. Основан на конструкторе EDA2. 

© Генеалогия: EDA2 >> DEDCryptor

  По некоторым сведениям, пострадавшим россиянам (или написавшим вымогателям на русском языке) ключ дешифрования предоставляется бесплатно. 

  К зашифрованным файлам добавляется расширение .ded. Например, файл TestDoc.xlsx, когда будет зашифрован, станет TestDoc.xlsx.ded. 

  Распространяется с помощью email-спама с вредоносным вложением в виде испорченного DOCX-файла. Тема письма может быть различной: от счета за оплату или банковского уведомления, до простого объявления. Причем, в письме используются оригинальные логотипы и фирменные изображения. 

Не любопытствуйте с письмами, это вам дорого обойдется! 

  DEDCryptor не оставляет текстовых записок с требованием выкупа, вместо этого в качестве обоев рабочего стола встает заготовленное изображение ded.png с короткими текстовыми сообщениями на русском и английском языках, которое и сообщает пользователю о том, что произошло и что нужно вымогателям. Вымогатели надели на себя образ злого Санты, а картинка гуляла по Интернету и раньше. 

  Контактный email-адрес вымогателей: dedcrypt@sigaint.org

 DEDCryptor шифрует только набор стандартных форматов документов, изображений и видео, которые имеют размер не больше 50 мегабайт. 

Список файловых расширений, подвергающихся шифрованию:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf

Шифруются только файлы, находящиеся на Рабочем столе в рамках текущей сессии. 

Дешифровщик от вымогателей:

Известно, что российским и русскоязычным пользователям Windows расшифровывают бесплатно. 


Файлы, связанные с DEDCryptor:
%UserProfile%\ded.png

Информация получена с BP.

Степень распространенности: средняя.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть дешифровщик от Майкла Джиллеспи.

Скачать дешифровщик для DEDCryptor 

AMBA

AMBA Ransomware 

(шифровальщик-вымогатель) 

Translation into English

  Этот крипто-вымогатель шифрует файлы, находящиеся на веб-сайтах. 
Зашифрованными оказываются все файлы во всех директориях сайта.

К зашифрованным файлам добавляется расширение .AMBA

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2019)

Также в каждой директории размещается записка о выкупе под названием ПРОЧТИ_МЕНЯ.txt. Весь текст написан на русском языке. 

Более ранние версии вредоноса для серверов с другими записками о выкупе известны с 2013 года. К зашифрованным файлам тогда добавлялось расширение .amba (с маленькими буквами). 

Сетевые подключения и связи:
Email: amba@riseup.net


Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство Plague17 / AMBA):
Plague17 (2014-2016) Ransomware - март 2014-2016
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 (2019) Ransomware - август 2019

Pizhon Ransomware - октябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 сентября 2016:
Расширение: .PROD или .prod или .RROD 
Email: rr0d@riseup.net
Пример на форуме >>
Записка: ПРОЧТИ_МЕНЯ.txt
Скриншот записки:

Содержание текста:
--------------------------------------------------------------------------------
    Место для Вашей рекламы
--------------------------------------------------------------------------------
    Вся Ваша информация (документы, базы данных, бэкапы)
    на этом компьютере была зашифрована.
    Для расшифровки обратитесь по нижеуказанным контактам.
    Ни в коем случае не изменяйте файлы!
    И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
    Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.
    Благодоря нам - вы можете усилить свою безопасность
    и предотвратить подобные ситуации!
--------------------------------------------------------------------------------
e-mail: rr0d@riseup.net
-----------------------------------
Ваш код для разблокировки: 7161834 
---------------------------------------------------------------
Внимание! В первом письме не прикрепляйте файлы для дешифровки.
Все инструкции вы получите в ответном письме.
--------------------------------------------------------------- 



Обновление от 12 сентября 2017:
Новая итерация: Crypto_Lab Ransomware

Обновление от 1-2 апреля 2018:
Новая итерация: Dont_Worry Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as AMBA)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

7h9r

7h9r Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR с ключом 7h9r, а затем предлагает связаться по email с вымогателями, чтобы узнать, как вернуть файлы обратно. Сумма выкупа, названная в ответном письме, $100 за дешифровщик. Цели шифрования: документы, аудио, видео. Оригинальное название: 7h9r. 

Зашифрованные файлы получают расширение .7h9r

Записка с требованием выкупа называется README_.txt

Записки могут быть только на английском языке, но есть и двуязычные (на русском и английском). Выше представлены оба варианта. 

Содержание записки о выкупе:
Your files were encrypted. If you want to decrypt them you must send code WE8765twx1009jdR|742|0|2 to email 7h9r341@gmail.com.
Then you will receive all necessary instructions. Attempts to decipher on their own will not lead to anything good, except irretrievable loss of information.
If you still want try to decipher them, please make a copy of files, this is our life hacking for you. (If you change the file we can't decrypt them in future)

Перевод записки на русский язык:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|2 на email-адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации.
Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак. (Если повредишь файлы, то и мы не сможем их потом дешифровать)

Русский текст в двуязычном варианте записки:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|1 на електронный адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации. Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.

Примечательно, что слово "электронный" написано, как "електронный", т.е. с буквой "е" вначале, как в украинском языке, только с буквой "ы", как в русском языке. 

Ответное письмо вымогателей:
The cost of decryption - S 100
Within 5 minutes to an hour from the time of payment you will get a program which returns all exactly as it was.
Do not try to recover the data with the help of anti-virus tools, it will hurt all the files If you want to try. try on another PC and a minimum of files, or even then we can not help you.
Firstly you must to send me 1 file (we will decrypt one file up to 10 MB for free as a confirmation in order that the files can be recovered. Any earnings reports, diplomas, coursework. presentations will not be decrypted for free)

Перевод ответного письма:
Стоимость дешифровки - S 100
От 5 минут до часа с момента оплаты вы получите программу, которая возвращает всё, как было.
Не пытайтесь вернуть данные с помощью антивируса, это повредит все файлы. Хотите пробовать, пробуйте на другом ПК и с минимумом файлов, или даже мы уже не поможем.
Сначала нужно прислать 1 файл (мы дешифруем файл до 10 МБ бесплатно, как подтверждение того, что файлы можно вернуть. Все отчеты о доходах, дипломы, курсовые, презентации не будем бесплатно дешифровывать)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3gp .apk .asm .avi .bmp .cdr .cer .chm .ckp .conf .cpp .css .csv .dacpac .dat .db3 .dbf .dbx .dcx .djvu .doc .docm .docx .epub .fb2 .flv .gif .ibooks .iso .java .jpeg .jpg .key .md2 .mdb .mdf .mht .mhtm .mkv .mobi .mov .mp3 .mp4 .mpeg .mpg .mrg .pdf .php .pict .pkg .png .pps .ppsx .ppt .pptx .psd  .rar .rbw .rtf .sav .scr .sql .sqlite .sqlite3 .sqlitedb .swf .tbl .tif .tiff .torrent .txt .vsd .wmv .xls .xlsx .xml .xps .zip
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_.txt - записка о выкупе;
README_.TXT.7h9r - зашифрованная версия записки;
7h9r.exe - исполняемый файл вымогателя. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространенности: средняя.
Подробные сведения собираются. 

 Read to links: 
 Tweet on Twitter (add. June 13, 2016)
 ID Ransomware (ID as 7h9r)
 Write-up (add. June 13, 2016)
 Tweet on Twitter (add. August 2, 2016)

 Thanks: 
 Mosh, MalwareHunterTeam
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.