Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Содержание записки о выкупе: !!! FONTOS INFORMÁCIÓ !!!! Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal. RSA és az AES titkosításokról itt olvashat részletesebben : https://hu.wikipedia.org/wiki/RSA-eljárás https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra. A kulcs megszerzéséhez kérem kövesse az alábbi lépéseket: 1. Küldje el e-mailbe a azonosító kódját locky@mail2tor.com címre ! Ha gondolja küldje el egy 1 Mb-nál kisebb fájlját és visszakódoljuk. Hogy bebizonyítsuk képesek vagyunk visszaállítani az adatait. (Kérem az e-mail csak a azonosító kódot valamint az esetleges csatolmányt tartalmazza) 3. Figyelje e-mail fiókját mert 24 órán belül levelet küldünk önnek ! A levélben megkapja a visszakódolt fálját,valamint a vissza titkosító programot. Kövesse a levélben lévő utasításokat I !!! Az ön azonosító kódja !!! *** ↑ Ezt a hosszú kódot a jegyzettömbből lehet kimásolni Перевод записки на русский язык: !!! ВАЖНАЯ ИНФОРМАЦИЯ !!!! Все файлы зашифрованы с помощью шифрования RSA-3072 и AES128. О RSA и AES шифрах можете узнать больше здесь: https://hu.wikipedia.org/wiki/RSA-eljárás https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard Чтобы вернуть файлы, нужно получить секретный ключ и программу дешифрования. Чтобы получить ключ, пожалуйста, выполните следующие действия: 1. Отправьте на email-адрес locky@mail2tor.com идентификационный код! Если хотите, пришлите файл в размере 1 МБ для расшифровки. Для того, чтобы доказать, что мы можем восстановить данные. (Пожалуйста, email должно содержать только идентификационный код, а также вложении) 3. Обратите внимание, проверяйте почту, мы вышлем вам письмо в течение 24 часов! Вы получите во ввложении расшифрованный файл и программу дешифрования. Следуйте инструкциям в письме. !!! Ваш идентификационный код !!! *** Этот длинный код может быть скопирован из блокнота Как показал анализ, вымогательский текст был переведен на венгерский с помощью системы автоматизированного перевода, в том числе в тексте отсутствует пункт 2 и сразу после 1-го идет 3-й. Распространяется Huckyс помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Создатели этого венгерского крипто-вымогателя стремились к тому, чтобы запугать своих жертв "крутым" шифровальщиком Locky. Перечислим ряд замеченных исследователями признаков и сравним их с признакоами реального Locky. Первым их них является расширение .locky, добавляемое к зашифрованным файлам, тогда как реальный Locky уже давно "отказался" от его использования. Также Hucky, в отличие от реального Locky, выполняет шифрование в автономном режиме, т.е. без обращения к C&C-серверу. Пока пользователь, неострожно открывший вредоносное влложение, просматривает фиктивный документ Word, производится шифрование файлов. Hucky может перезапустить ПК после завершения процесса шифрования, чтобы удалить свои файлы и следы работы, которые могут помочь узнать ключ дешифрования. Требования выкупа Hucky отображает на венгерском в виде текстовых файлов и дублирует их на изображении, встающем обоями рабочего стола. Тогда как реальный Locky выводил тексты только на английском языке. Locky запрашивал уплату Bitcoin через Tor-сайт, а Hucky требует от жертвы написать на email адрес в Mail2Tor. На изображение Hucky, встающем обоями, есть маленькая картинка жёлтого замка, которого у реального Locky нет. Список файловых расширений, подвергающихся шифрованию, у Hucky состоит всего из 200 шт., что составляет лишь половину списка, используемого Locky. Вымогатель Hucky кроме того нацелен на видео-файлы игр, которые используются в StarCraft2, World of Tanks и Minecraft. Другим отличием является используемый язык программирования: Locky был создан с помощью Microsoft Visual C ++, а Hucky основан на Microsoft VisualBasic. Все диалоги Hucky с жертвами написаны на венгерском языке. Исполняемые файлы Hucky распространяются только в Венгрии и связаны с такими названиями, как semmi.exe (венгерское слово "ничто") или turul.exe (название венгерского национального символа). Кроме того, венгерский текст используется в коде Hucky, в пространстве имён, методах, переменных и т.д. Список файловых расширений, подвергающихся шифрованию: 200 расширений, в их числе файлы документов MS Office, PDF, изображения, аудио-видео, файлы игр. Файлы, связанные с HuckyRansomware: _Adatok_visszaallitasahoz_utasitasok.txt (Инструкции по восстановлению данных) _locky_recover_instructions.txt \Startup\mgtow.exe \Startup\Java Update.exe \Startup\Fontos Informacio.bmp \Temp\monodocu.dat \Temp\d3m4g0g.dat \Temp\\[A-Za-z0-9]{6}\.bat$/ Записи реестра, связанные с HuckyRansomware: *** Сетевые подключения: *** Результаты анализов: Гибридный анализ >> VirusTotal анализ >>
Степень распространённости: низкая. Подробные сведения собираются.
Файлы, связанные с Winnix Cryptor Ransomware: YOUR FILES ARE ENCRYPTED!.txt gpg.exe - утилита GnuPG %WINDIR%\tracing\<Disk_letter>.bat - несколько файлов для каждого диска: C.bat, D.bat и пр.; %WINDIR%\tracing\0system.bat - конфиг-файл шифровальщика; %WINDIR%\tracing\addwin.bat - добавление заданий по шифрованию файлов; %WINDIR%\tracing\delwin.bat - зачистка заданий по шифрованию файлов; %WINDIR%\logs.cmd - ежечасная очистка логов Windows; %WINDIR%\tracing\ClearAllWinEventLogs.cmd - дубль-очистка логов Windows; %WINDIR%\tracing\winnix_pub.asc - публичный ключ, созданный на стороне вымогателей; %WINDIR%\system32\config\systemprofile\Application Data\gnupg\secring.gpg - секретный ключ, на компьютере уничтожается (перезаписывается мусором), дубликат находится у вымогателей, без него дешифровка невозможна; и другие файлы. Командный файл <Disk_letter>.bat импортирует публичный ключ в GnuPG и запускает процесс шифрования файлов на каждом диске. Задав каждому bat-файлу отдельный диск, злоумышленники защитили компоненты вредоноса, т.к. если работа одного из них по какой-то причине будет прервана, то другие продолжат шифрование на другом диске. Записи реестра, связанные с Winnix Cryptor Ransomware: См. результаты анализов. Сетевые подключения: См. результаты анализов. Результаты анализов: Гибридный анализ >> Ещё >> VirusTotal анализ >>
Степень распространённости: средняя. Подробные сведения собираются.
Содержание текста о выкупе: ANGRY DUCK! All your important files have been encrypted using very string cryptography (AES-512 With RSA-64 FIPS grade encryption). To recover your files, send 10 BTC to my private wallet DON'T MESS WITH THE DUCKS!!! Перевод текста на русский язык: УТКИ СЕРДИТЫ! Все твои важные файлы зашифрованы очень сильной криптографией (AES-512 с RSA-64 FIPS-класса шифрования). Для возврата файлов пошли 10 BTC на мой бумажник НЕ СВЯЗЫВАЙСЯ С УТКАМИ!!! Примечательно, что текст содержит не только лексические ошибки (слово string вместо strong), но также ошибки в названии алгоритмов шифрования — AES-512 ещё не используется, а RSA-64 может быть легко взломан. Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Список файловых расширений, подвергающихся шифрованию:
Файлы, связанные с Ransomware: *** Записи реестра, связанные с Ransomware: *** Сетевые подключения: *** Результаты анализов: *** Степень распространённости: низкая или единичные случаи. Подробные сведения собираются.
Кроме записки используется экран блокировки с тем же текстом.
Содержание записки о выкупе: Для расшифровки данных отправьте код на E-mail После этого вы получите инструкции по оплате После оплаты вы получите код разблокировки и все данные будут расшифрованы Не удаляйте и не редактируйте файлы с расширением lock93 и фалы самого вируса, т. к. это может привести к потере данных Стоимость расшифровки: 1000 рублей ---------------------------------------------------------- Send the code to the e-mail You will get payment instructions After payment you will get the unlock code and your data will be decrypted Do not delete or modify files with extension lock93 and virus files because it can destroy your data Price: 1000 RUR ---------------------------------------------------------- Код для отправки/code: 27575 E-mail: oplaticydadeng@mail. ru Запасной E-mail/Reserve E-mail: zaplatiddeng@yandex.ru Email вымогателей: oplaticydadeng@mail.ru zaplatiddeng@yandex.ru Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Список файловых расширений, подвергающихся шифрованию: *** Файлы, связанные с Lock93 Ransomware: ИНСТРУКЦИЯ INSTRUCTION.txt Записи реестра, связанные с Lock93Ransomware: *** Сетевые подключения: *** Результаты анализов: *** Степень распространённости: низкая. Подробные сведения собираются.
Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на итальянских пользователей. Записки с требованием выкупа называются: !!!!!readme!!!!!.htm Содержание записки о выкупе на итальянском: Tutti i file sono stati cifrati! 1. Scaricare e installare Tor Browser (consigliata) o utilizzare il browser standard. 2. Seguire il link che stato generato per voi. 3. Nella pagina successiva si vedr un portafoglio Bitcoin a pagare, dopo si paga, si otterr la chiave per decifrare i file. 4. Evidenziare (CTRL + A) e copia (CTRL + C) la chiave nella clipboard, decodifica inizier. 5. Per favore, non aprire i file durante la decrittografia - ha aperto i file non possono essere decifrati. http://dxostywsduvmn6ra.onion/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000 http://dxostywsduvmn6ra.onion.cab/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000 Перевод записки на русский язык: Все файлы зашифрованы! 1. Скачайте и установите Tor Browser (рекомендуется) или используйте стандартный браузер. 2. Перейдите по ссылке, которая была создана для вас. 3. На следующей странице вы увидите Bitcoin-кошелек, чтобы заплатить, после оплаты вы получите ключ для расшифровки файлов. 4. Выделите (CTRL + A) и скопируйте (CTRL + C) ключ в буфер обмена чтобы начать декодирование. 5. Пожалуйста, не открывайте файлы при расшифровке - открытые файлы не будут расшифрованы. хттп://dxostywsduvmn6ra.onion/if.php*** хттп://dxostywsduvmn6ra.onion.cab/if.php*** По ссылкам открывается onion-сайт со следующим содержанием.
Сначала сумма выкупа была 0,25, а сейчас уже 0,5. В скобках по-прежнему стоит 0. Это говорит о том, что пострадавшая сторона не заплатила выкуп, и он удвоился. Содержание текста с сайта: Your files were encrypted! 0.5(0) BTC -> 1ATXMvsbKRrGpNFbKrJAQXgT8XEbaHjSAi (0:21:31:28) For getting decryption key you must to pay amount, written above, to bitcoin address, written above. Amount in brackets indicates already paid amount. For buy bitcoin online, google it now. This page will refreshed every 120 seconds. If you already paid, please, wait for page refreshing. If sofware was deleted, download it now. Absense of payment during next five days will double amount. Chat with support now
Красным цветом выделены слова с ошибками.
Перевод на русский язык: Ваши файлы зашифрованы! Для получения ключа дешифрования вы должны заплатить сумму, написанную выше, на Bitcoin-адрес, написанный выше. Сумма в скобках указывает на уже оплаченную сумму. Чтобы купить Bitcoin в Интернете, гугли сейчас. Эта страница будет обновляться каждые 120 секунд. Если вы уже оплатили, пожалуйста, подождите обновления страницы. Если программа была удалена, скачайте её снова. Без оплаты в течение следующих пяти дней сумма удвоится. Чат с поддержкой
Ещё текст записки: YOUR FILES WERE ENCRYPTED! 1. Download and install TOR browser (recommended) or use your standard browser. 2. Follow the link that was generated for you. 3. On the next page you will see a Bitcoin wallet to pay, after you pay, you will get the key for decrypting your files. 4. Highlight (CTRL + A) and copy (CTRL + C) the key in clipboard, decoding will start. 5. Please, do not open files during decryption - opened files can not be decrypted Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, эксплойта RIG. После шифрования удаляются теневые копии файлов командой: vssadmin.exe delete shadows /all /quiet Список файловых расширений, подвергающихся шифрованию: В первую очередь файлы документов, изображений и прочие. Файлы, связанные с ASN1 Encoder Ransomware: <random_name>.exe - вредоносное вложение; !!!!!readme!!!!!.htm - записка о выкупе; segui.exe - декриптор от вымогателей. %APPDATA%\db05dbac.exe %TEMP%\nskE285.tmp\System.dll %TEMP%\stockhorns.dll и другие. Записи реестра, связанные с ASN1 Encoder Ransomware: См. ниже результата анализов. Сетевые подключения: хттп://nsis.sf.net/NSIS_Error www.torproject.org/download/download.html dxostywsduvmn6ra.onion Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Malwr анализ >> Степень распространённости: низкая. Подробные сведения собираются. Обновление от 25 ноября 2016: Пост в Твиттере Записка: !!!!!readme!!!!!.htm Результаты анализов: VT
Обновление от 25 ноября 2016: Файлы: !!!!!readme!!!!!.htm Readme.txt %APPDATA%\43eea007.exe <random>.exe 43eea007.exe.dat <random>.exe.bat Результаты анализов: VT, HA Блокировщик экрана:
Обновление от 2 марта 2017: Пост в Твиттере >> Записка: !!!!!readme!!!!!.htm Сумма выкупа: 0.5 BTC Расширения: нет Распространение: эксплойт RIG Обновление от 18 июля 2017: Пост в Твиттере >> Записка: !!!!!readme!!!!!.htm Результаты анализов: VT << Скриншот записки
К зашифрованным файлам добавляются составные расширения по шаблону:
<file_name>.<file_extension><ransom_extension> На данный момент это расширения .c400, .c300 на конце файла и email вымогателей перед ними: !___ELIZABETH7@PROTONMAIL.COM____.c400 !_____LIKBEZ77777@GMAIL.COM____.c400 !_____GEKSOGEN911@GMAIL.COM____.c300 Таким образом файл Document.doc после шифрования станет: Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400 Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400 Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300
Активность этого крипто-вымогателя пришлась на конец октября - ноябрь 2016 г., но продолжилась и в 2017-2019 годах с другими расширениями (см. внизу "Блок обновлений"). Записки с требованием выкупа называются: readme.txt или ***readme.txt Содержание записки о выкупе (из версии Tar): Good day Your files were encrypted/locked As evidence can decrypt file 1 to 3 1-30MB The price of the transcripts of all the files on the server: 7 Bitcoin Recommend to solve the problem quickly and not to delay Also give advice on how to protect Your server against threats from the network (Files sql mdf backup decryption strictly after payment)! Перевод записки на русский язык: Добрый день Ваши файлы зашифрованы / заблокированы Как доказательство можем расшифровать файл 1 до 3 1-30MB Стоимость расшифровки всех файлов на сервере: 7 Bitcoin Рекомендуем решить эту проблему быстро и без задержки Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети (Файлы sql mdf backup дешифруем только после оплаты)! Email вымогателей: ELIZABETH7@PROTONMAIL.COM LIKBEZ77777@GMAIL.COM GEKSOGEN911@GMAIL.COM и другие (см. внизу в обновлениях)
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: vssadmin.exe delete shadows /all /Quiet bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures bcdedit.exe /set {current} recoveryenabled no
Список файловых расширений, подвергающихся шифрованию:
Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). Файлы, связанные с RotorCrypt Ransomware: iuy.exe <random_name_8_chars>.exe <random_name_8_chars>___.exe DNALWmjW.exe и другие GWWABPFL_Unpack.EXE <random_name_8_chars>.lnk jHlxJqfV.lnk и другие Расположения: %TEMP%\<random_name_8_chars>.exe C:\Users\User_name\AppData\local\<random_name_8_chars>.exe C:\Users\User_name\Desktop\<random_name_8_chars>.exe C:\GWWABPFL_Unpack.EXE %LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk Записи реестра, связанные с RotorCryptRansomware: См. ниже гибридные анализы. Результаты анализов по версиям: Гибридный анализ на Tar >> Гибридный анализ для ELIZABETH >> Гибридный анализ для LIKBEZ >> Гибридный анализ на GEKSOGEN >> VirusTotal анализ на Tar >> VirusTotal анализ для ELIZABETH >> VirusTotal анализ для LIKBEZ >> VirusTotal анализ на GEKSOGEN >>
Степень распространённости: средняя. Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Предыстория 1: На переходном периоде от Gomasom до Tar и RotorCrypt, и параллельно с их ранними версиями, использовались другие составные расширения "roto" и "crypt", от которых, собственно, и произошло название шифровальщика RotorCrypt, через обнаружение Trojan-Ransom.Win32.Rotor, используемое в продуктах ЛК. Время распространения: от июня 2015 до января 2016, с продолжением до октября 2016. Шаблон расширений: <file_name>.<file_extension><ransom_extension> Список расширений (List of extensions): .-.DIRECTORAT1C8@GMAIL.COM.roto .-.DIRECTORAT1C@GMAIL.COM.roto .-.directorat1c@gmail.com.roto .-.CRYPTSb@GMAIL.COM.roto !-==kronstar21@gmail.com=--.crypt !==helpsend369@gmail.com==.crypt !__crypthelp12@gmail.com_.crypt !___prosschiff@gmail.com_.crypt !____moskali1993@mail.ru___.crypt !______sufnex331@gmail.com______.crypt !______bigromintol971@gmail.com______.crypt !_______GASWAGEN123@GMAIL.COM____.crypt !_________pkigxdaq@bk.ru_______.crypt !______________DESKRYPTEDN81@GMAIL.COM.crypt
Для некоторых из них, возможно и для всех, была выпущена утилита дешифровки RakhniDecryptor. Официальная ссылка >>
Предыстория 2: Tar Ransomware
Ранняя версия Tarдобавляла к зашифрованным файлам расширение .tar или ___tar Распространение Tarпришлось на вторую половину сентября - октябрь-ноябрь 2016. Сообщения на форуме BC. Расширения того времени: !____GLOK9200@GMAIL.COM____.tar !____cocoslim98@gmail.com____.tar Результаты анализов: HA+VT Обновление от 22 сентября 2016: Расширение: !_____ELIZABETH7@PROTONMAIL.COM____.tar Результаты анализов: VT Обновление от 10 ноября 2016: Email: GEKSOGEN911@GMAIL.COM Расширение по шаблону: !_____GEKSOGEN911@GMAIL.COM____.c300 Обновление от 2 декабря 2016: Email: DILINGER7900@GMAIL.COM Расширение по шаблону: !_____DILINGER7900@GMAIL.COM_____.GRANIT Обновление от 16 декабря 2016: Расширение: !__recoverynow@india.com__.v8 См. статью V8Locker Ransomware Обновление от 26 декабря 2016: Email: hamil8642@gmail.com Расширение по шаблону: !____hamil8642@gmail.com___.GRANIT
=== 2017 ===
Обновление от 20 марта 2017: Расширение: !===contact by email=== tokico767@gmail.com.adamant Email: tokico767@gmail.com.adamant Пример темы >> Описание этого варианта у Dr.Web >> Результаты анализов: HA+VT Обновление: апрель 2017: Email: edgar4000@protonmail.com Пример темы >> Расширение по шаблону: edgar4000@protonmail.com____.granit Email: edgar4000@protonmail.com Обновление от 5 июня 2017: Расширение: ________DILIGATMAIL@tutanota.com________.pgp Ссылка на топик >> Обновление от 18 июня - 15 августа 2017: Пост в Твиттере >> Расширение по шаблону: !______DILIGATMAIL7@tutanota.com______.OTR Email: diligatmail7@tutanota.com Результаты анализов: HA+VT
Обновление от 23 августа 2017: Расширение по шаблону: !______PIFAGORMAIL@tutanota.com______.SPG Email: PIFAGORMAIL@tutanota.com Примеры зашифрованных файлов: Анкета.docx!______PIFAGORMAIL@tutanota.com______.SPG Resume.docx!______PIFAGORMAIL@tutanota.com______.SPG Обновление от 12 сентября 2017: Расширение по шаблону:_______PIFAGORMAIL@tutanota.com_____.rar Email: PIFAGORMAIL@tutanota.com Обновление от 20 сентября 2017: Пост в Твиттере >> Расширение по шаблону:!_____INKASATOR@TUTAMAIL.COM____.ANTIDOT Email: INKASATOR@TUTAMAIL.COM Результаты анализов: VT Обновление от 13-20 сентября 2017: Пост в Твиттере >> + Пост в Твиттере >> Расширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66 Email: grandums@gmail.com Результаты анализов: VT Обновление от 20 сентября 2017: Пост в Твиттере >> Расширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17 Email: stritinge@gmail.com Сумма выкупа: 1 BTC Результаты анализов: VT Обновление от 10 октября 2017: Пост в Твиттере >> Расширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz Email: FIDEL4000@TUTAMAIL.COM Результаты анализов: VT Обновление от 17 октября 2017: Пост в Твиттере >> Файлы: dead rdp.exe, RarYBiHI.exe Расширение: !____________DESKRYPT@TUTAMAIL.COM________.rar Email: DESKRYPT@TUTAMAIL.COM Результаты анализов: VT
Обновление от 27 ноября 2017: 🎥 Video review Пост в Твиттере + Tweet >> Расширение: !____________ENIGMAPRO@TUTAMAIL.COM_______.PGP Email: ENIGMAPRO@TUTAMAIL.COM Записка: info.txt Файлы: <random8>.exe Результаты анализов: VT + HA Скриншоты записки и файлов >>
Обновление от 25 декабря 2017: Расширение: !___________ANCABLCITADEL@TUTAMAIL.COM__________.PGP Email: ANCABLCITADEL@TUTAMAIL.COM Файл: <random>.exe Результаты анализов: VT
=== 2018 ===
Обновление от 25 января 2018: Пост в Твиттере >> Расширение: !==SOLUTION OF THE PROBLEM==blacknord@tutanota.com==.Black_OFFserve! Email: blacknord@tutanota.com Результаты анализов: VT
Обновление от 9 февраля 2018: Пост в Твиттере >> Расширение: !decrfile@tutanota.com.crypo Email: decrfile@tutanota.com Результаты анализов: VT
Обновление от 5 марта 2018: Пост в Твиттере >> Расширение с пробелами: ! ,--, Revert Access ,--, starbax@tutanota.com ,--,.BlockBax_v3.2 Email: starbax@tutanota.com Результаты анализов: VT
Обновление от 21 мая 2018: Пост в Твиттере >> Расширение: !________INKOGNITO8000@TUTAMAIL.COM_________.SPG Email: INKOGNITO8000@TUTAMAIL.COM Результаты анализов: VT
Обновление от 03 июня 2018: Пост на форуме >> Расширение: !_______INKOGNITO7000@TUTAMAIL.COM_______.SPG Email: INKOGNITO7000@TUTAMAIL.COM Обновление от 11 июня 2018: Пост в Твиттере >> Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail Email: PANAMA1@TUTAMAIL.com Результаты анализов: VT
Обновление от 14 июня 2018: Пост в Твиттере >> Расширение: !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd Email: boroznsalyuda@gmail.com Файл: WbshKnkR.exe Результаты анализов: VT
Обновление от 24 июня 2018: Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR Email: INKASATOR1@TUTAMAIL.COM Топик на форуме >> Обновление от 25 июня 2018: Пост в Твиттере >> Зашифрованные файлы без расширения. Email: patagonoa92@tutanota.com Записка: Help.txt ➤ Содержание записки: help mail PATAGONIA92@TUTANOTA.COM Результаты анализов: VT
Обновление от 9 июля 2018: Пост в Твиттере >> Расширение: !@$#-unlock-email______zepro190@gmail.com______#$!...ES_HELPs Email: zepro190@gmail.com Результаты анализов: VT
Так выглядят зашифрованные файлы
Обновление от 19 июля 2018: Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail Email: PANAMA1@TUTAMAIL.com Топик на форуме >>
Обновление от 21 августа 2018: Пост в Твиттере >> Расширение: !@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@..AlfaBlock
Email: nautilus369alarm@gmail.com Результаты анализов: VT
Обновление от 10 октября 2018: Пост в Твиттере >> Расширение: !@#$%^&-()_+.1C Записка: INFO.txt Email: inkognitoman@tutamail.com, inkognitoman@firemail.cc
➤ Содержание записки: Для связи с нами используйте почту inkognitoman@tutamail.com inkognitoman@firemail.cc Результаты анализов: VT + HA + AR Обновление от 11 декабря 2018: Топик на форуме >> Расширение: !@#$%^&-().1-C
Записка: INFO.TXT Email: PREDSEDATEL@TUTAMAIL.COM ➤ Содержание записки: Для связи с нами используйте почту PREDSEDATEL@TUTAMAIL.COM
=== 2019 ===
Обновление от 4 февраля 2019: Пост в Твиттере >> Расширение: !ymayka-email@yahoo.com.cryptotes Записка: readme.txt
Обновление от 1 марта 2019: Пост в Твиттере >> Расширение: !_!email__ prusa@goat.si __!..PAYMAN Записка: open_payman.txt Email: prusa@goat.si, prusa@tutanota.de Результаты анализов: VT
➤ Содержание записки: КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ ИНСТРУКЦИЯ Внимание!!! Мы действительно сожалеем сообщить вам, что все ваши файлы были зашифрованы нашим автоматическим программным обеспечением. Это стало возможным из-за плохой безопасности сервера. Внимание!!! Пожалуйста не потревожьтесь, мы смогите помочь вам восстановить ваш сервер к оригиналу государство и расшифровать все ваши файлы, быстро и безопасно! Информация!!! Файлы не сломаны!!! Файлы были зашифрованы с помощью алгоритмов шифрования AES-128+RSA-2048. Невозможно расшифровать файлы без уникального ключа дешифрования и специального программного обеспечения. Ваш уникальный ключ расшифровки хранится на нашем сервере. Для нашей безопасности вся информация о вашем сервере и ключе для расшифровки будет автоматически удалена через 7 дней! Вы безвозвратно потеряете все свои данные! * Обратите внимание, что все попытки восстановить файлы самостоятельно или с помощью сторонних инструментов приведет только к безвозвратной потере ваших данных! * Обратите внимание, что восстановить файлы можно только с помощью уникального ключа расшифровки, который хранится на нашей стороне. Если вы будете пользоваться помощью третьих лиц, то добавите только посредника. КАК ВОССТАНОВИТЬ ФАЙЛЫ??? Пожалуйста, напишите нам на e-mail (пишите на английском или используйте профессионального переводчика):айлы можно только с помощью уникального ключа расшифровки, который хранится на нашей стороне. 1 email: prusa@goat.si (Response time within 24 hours) 2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1)
--- HOW TO RECOVER YOUR FILES INSTRUCTION ATENTION!!! We are realy sorry to inform you that ALL YOUR FILES WERE ENCRYPTED by our automatic software. It became possible because of bad server security. ATENTION!!! Please don't worry, we can help you to RESTORE your server to original state and decrypt all your files quickly and safely! INFORMATION!!! Files are not broken!!! Files were encrypted with AES-128+RSA-2048 crypto algorithms. There is no way to decrypt your files without unique decryption key and special software. Your unique decryption key is securely stored on our server. For our safety, all information about your server and your decryption key will be automaticaly DELETED AFTER 7 DAYS! You will irrevocably lose all your data! * Please note that all the attempts to recover your files by yourself or using third party tools will result only in irrevocable loss of your data! * Please note that you can recover files only with your unique decryption key, which stored on our side. If you will use the help of third parties, you will only add a middleman. HOW TO RECOVER FILES??? Please write us to the e-mail (write on English or use professional translator): 1 email: prusa@goat.si (Response time within 24 hours) 2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email 1) You have to send your message on each of our 3 emails due to the fact that the message may not reach their intended recipient for a variety of reasons! We recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your files. * Please note that files must not contain any valuable information and their total size must be less than 5Mb. OUR ADVICE!!! Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server. Recovery time from 30 minutes to 10 hours, including local drives and connected devices. We will definitely reach an agreement ;) !!!
Обновление от 13 марта 2019: Пост в Твиттере >> Расширение: !__help2decode@mail.com__.a800 Записка: recovery.instruction.txt Email: help2decode@mail.com
➤ Содержание записки: What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. CONTACT US BY EMAIL: help2decode@mail.com Результаты анализов: VT + AR Обновление от 15 марта 2019: Пост в Твиттере >> Расширение: !@#$%^&-().1c Email: admin1c@airmail.cc, rezerved1c@tuta.io Записка: INFO.txt
➤ Содержание записки: для связи с нами используйте почту admin1c@airmail.cc rezerved1c@tuta.io Результаты анализов: VT + AR + IA+HA
Обновление от 18 марта 2019: Пост в Твиттере >> Расширение: !!!! prusa@rape.lol !!!.prus Записка: informprus.txt Текст записки очень корявый. Содержание, как в тексте от 1 марта 2019.
Скриншот оригинального текста записки
Показатель безграмотного текста на русском
📌 Текст на русском языке написан так безграмотно и коряво, что вызывает сомнения, что его писали знавшие русский язык. Конечно, это могли сделать и умышленно. Email-1: prusa@rape.lol Email-2: prusa@tutanota.de Результаты анализов: VT + AR
Обновление от 31 мая 2019: Пост в Твиттере >> Расширение: !__prontos@cumallover.me__.bak Email: prontos@cumallover.me Результаты анализов: VT+ VMR
Обновление от 21 июня 2019: Пост в Твиттере >> Расширение: !-information-...___ingibitor366@cumallover.me___....RT4BLOCK Записка: NEWS_INGiBiToR.txt Email: ingibitor366@cumallover.me Результаты анализов: VT + HA + VMR
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===