PshCrypt

PshCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,05 BTC, чтобы вернуть файлы. Оригинальные названия, указанные на файле: XExplorer и Une bite. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .psh

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Tour files are encrypted !
Enter the serial code to decrypte your file
How to get a serial key :
First buy 0.05 bitcoin
Than send this 0.05 bitcoin to this bitcoin wallet :
Then take the 4 first character of the transaction ID
Then press the "Decrypte" button
Serial code : (Only Upper)
button [Decrypte]
Warning :
If your transaction number don't work, please wait up to 48 hours (2 day) and retry Decrypted flles :
Decrypted files

Перевод записки на русский язык:
Твои файлы зашифрованы!
Введи серийный код для расшифровки твой файл
Как получить серийный ключ:
Сначала купи 0.05 биткойн
Затем отправь эти 0.05 биткойн в этот биткойн-кошелек:
Затем возьми 4 первых символа ID транзакции
Затем нажми кнопку "Decrypte"
Серийный код: (только Upper)
Кнопка [Расшифровать]
Предупреждение:
Если номер твоей транзакции не работает, жди до 48 часов (2 дня) и повтори дешифрование:
Дешифрованные файлы

Код дешифровки: HBGP

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XExplorer.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PshCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Locky-Osiris 2017

Locky-Osiris 2017 Ransomware

"Revived Locky-Osiris"

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. По факту это обновлённая итерация Locky.

This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky > Locky-Osiris 2016 > Locky-Osiris 2017

К зашифрованным файлам добавляется расширение .osiris

Locky, дремавший с конца 2016 - начала 2017 года, вернулся с новой силой во второй половине апреля 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: OSIRIS-<4_digits>.htm
например, OSIRIS-5263.htm

Содержание записки о выкупе:
_=*=-=
$*++.*|**=. =.-=+|+
-= =**.*|-*__* -
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-204S and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of tins addresses are not available, follow these steps:
1. Download and install Tor Browser: https: www.torproiect.org download download-easv.html
2. After a successful installation, nui the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion***
4. Follow the instructions on the site.
!!! Your personal identification ID: *** !!
|= $ +$
.= --*==
$ .|.|-* =|.===-+_$

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с шифрами RSA-204S и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которые есть на нашем секретном сервере.
Чтобы получить закрытый ключ, следуйте по одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor Browser: https: www.torproiect.org загрузить download-easv.html
2. После успешной установки откройте обозреватель и дождитесь инициализации.
3. Введите в адресной строке: g46mbrrzpfszonuk.onion***
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный номер: *** !!

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, в том числе с помощью эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примеры названий вредоносных вложений в email: Receipt 435, Payment Receipt 2724, Payment-2677, Payment Receipt_739, Payment#229.
Используемые типы файлов: PDF, DOC/DOCM, XLS/XLSM (документы DOC и XLS с макросами): <random>.pdf, <random>.docm, <random>.xlsm
Предложения вредоносного характера: включить макросы в документе ("Enable Content"). После включения загружается бинарник шифровальщика. 

Email, указанные в письме: donotreply@stmargaretsbrookfield.org.uk и другие. 
Все указанные в письмах отправители, компании, правительственные ведомства и другие организации, имена сотрудников, номера телефонов, ссылки и т.д. выбраны случайным образом. Некоторые из этих компаний реально существуют, а другие вымышлены. Не пытайтесь ответить по телефону или написать на email отправителя, т.к. всё сделано для того, чтобы побудить вас вслепую открыть вложение или, нажав на ссылку в письме, перейти на некий сайт, что узнать подробности.  

После шифрования файлов удаляются тома теневых копий файлов командой:
C:\Windows\system32\vssadmin.exe 
Delete Shadows /Quiet /All

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
redchip2.exe - бинарник шифровальщика

Расположения:
%Temp%\redchip2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL загрузки redchip2.exe: xxxx://uwdesign.com.br/9yg65 и другие.
URL C&C: 188.120.239.230/checkupdate и 80.85.158.212/checkupdate
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Locky)
 Write-up, Topic
 * 

 Thanks: 
 S!Ri‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

JeepersCrypt

JeepersCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .jeepers

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Todos os seus arquivos importantes foram encriptados
Voce tem 24 horas para comprar uma chave privada para desencriptar seus arquivos o preço da chave e 0.0200 BTC (bitcoin que vale a 77 reais) para comprar a chave para comprar a chave entre em contato via email: jeeperscrypt@protonmail.com
e envie uma mensagem com o seguinte titulo "Quero comprar uma chave para desencriptar meus arquivos" que irei passar as informações de como comprar a chave
Tempo Restante
23:53:21

Перевод текста на русский язык:
Все ваши важные файлы были зашифрованы
У вас есть 24 часа, чтобы купить закрытый ключ для расшифровки файлов за 0.0200 BTC (bitcoin стоит 77 реалов), чтобы купить ключ 
для покупки ключа контакт по email: jeeperscrypt@protonmail.com
и отправьте сообщение с заголовком: "Я хочу купить ключ, чтобы расшифровать мои файлы", в ответ получите информацию о том, как купить ключ
Оставшееся время
23:53:21

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
JeepersCrypt.exe
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JeepersCrypt)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Michael Gillespie 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lockout

Lockout Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lockout

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Payment-Instructions.txt

Содержание записки о выкупе:
Your Payment ID: ****
Contact bnd54@mail2tor.com with your Payment ID from above to get price and payment details for unique decryption software.
Files are encrypted with RSA-2048 encryption so the only way to recover your data is using our software. We will decrypt 1 file for you to show you will get all data back using our unlocker.
Price will double in 3 days so don't delay!

Перевод записки на русский язык:
Твой платежный ID: ****
Напиши на bnd54@mail2tor.com свой Payment ID в заголовке, чтобы узнать цену и детали оплаты уникальной программы дешифрования.
Файлы шифруются с шифрованием RSA-2048, поэтому восстановить данные можно только нашей программой. Мы расшифруем 1 файл, чтобы показать, что ты вернешь все данные с помощью нашего разблокиратора.
Цена удвоится через 3 дня, так что не медлите!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Payment-Instructions.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
bnd54@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ATLAS

ATLAS Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-512, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CHIP > DALE > ATLAS

К зашифрованным файлам добавляется расширение .ATLAS
Файлы переименовываются случайным образом. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ATLAS_FILES.txt

Содержание записки о выкупе:
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
Hello! All Your files are encrypted!
For more specific instructions, please contact us as soon as possible:
atlashelp@protonmail.com
atlasfix@protonmail.com
atlasfix@dr.com
Attention: DO NOT USE ANY PUBLIC DECRYPTERS!
YOU CAN DAMAGE YOUR FILES!
Kind regards, Support Team.
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22

Перевод записки на русский язык:
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
Привет! Все твои файлы зашифрованы!
Для получения точных инструкций напиши нам как можно скорее:
atlashelp@protonmail.com
atlasfix@protonmail.com
atlasfix@dr.com
Внимание: НЕ ИСПОЛЬЗУЙ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ!
ТЫ ПОВРЕДИШЬ СВОИ ФАЙЛЫ!
С лучшими пожеланиями, Команда поддержки.
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ATLAS_FILES.txt
<random>tmp.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Marcelo Rivero
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CoNFicker

CoNFicker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название, указанное в записках и на файле. Фальш-имя: Microsoft Office.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .conficker

Коллаж от автора блога

Этимология названия
В имени этого крипто-вымогателя CoNFicker обыгрывается название Conficker, под которым ранее был известен компьютерный вирус, наделавший много шума в 2008-2009 годах и приведший к убыткам на сумму около 9.1 млрд долларов. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Decrypt.txt 

 

Содержание записки о выкупе:
C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E
#####
Attention! Attention! Attention! Your Files has been encrypted By C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E 
#####   
Send 0.5 Bitcoin To @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @  
#####
If Send 0.5 Bitcoin We will send you the decryption key C_o_N_F_i_c_k_e_r Decryptor    
#####

Перевод записки на русский язык:
C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E
Внимание! Внимание! Внимание! Твои файлы зашифрованы C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E 
Пришли 0.5 биткоина на @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @  
Если пришлешь 0.5 биткоина мы отправим тебе ключ дешифровки C_o_N_F_i_c_k_e_r Decryptor

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransomwarefineched.exe
Decrypt.txt
C_o_N_F_i_c_k_e_r Decryptor.exe
winrar Setup 2017.exe
winrar 2017.exe
conficker.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Conficker)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Malabu

Malabu Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Оригинальное название: Malabu. Другое, указанное на файле: MALABU-X. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fucked

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
YOUR WINDOW IS HACKED
ALL YOUR FILES, DOCUMENTS, DATAS, VIDEOS, PICTURES, MP3s ARE ENCRYPTED. YOUR COMPUTER SCREEN IS ALSO LOCKED. 
YOU'VE BEEN HACKED WITH MALABU RANSOMWARE.
YOU WILL PAY US $500 INTO OUR BITCOIN ADDRESS BELOW AND WE WILL GIVE YOU THE KEY TO DECRYPT, AND YOU WILL GET YOUR FILES BACK. AFTER 48 HRS, YOU WILL PAY $1000 MORE. WE DON'T GIVE A FUCK.. IF YOU DELAY, YOU LOOSE ALL
1EBbTjEmGN2w5kUN6uPLyU5e8x7zjRt8J
[Hide More Details]
(1) LOOK FOR BITCOIN SERVICES ONLINE
(2) REGISTER AND GET A BITCOIN WALLET
(3) BUY $500 BITCOIN ONLINE
(4) PAY INTO OUR BITCOIN ADDRESS ABOVE(IN YELLOW)
(5) PAY WITHIN 48 HOURS OR YOU WILL PAY $1000 AFTER
(6) FAILURE TO PAY WITHIN A WEEK MAKES YOU TO LOOSE ALL
(7) SEND YOUR PAYMENT DETAILS TO OUR EMAIL
steverusell@mail.com 
(8) WE WILL GIVE YOU THE KEY TO DECRYPT \ REMOVE THE MALWARE
ENTER KEY [***] [Decrypt] 

Перевод текста на русский язык:
Ваша система взломана
Все ваши файлы, документы, данные, видео, картинки, mp3 зашифрованы. Экран вашего компьютера также блокирован.
Вас взломали с Malabu Ransomware.
Заплатите нам $500 на наш биткойн-адрес ниже, и мы дадим вам ключ к расшифровке, и вы вернёте ваши файлы. Через 48 часов вы заплатите уже $1000. Мы не шутим. Если вы не поторопитесь, то потеряете всё
1ebbtjemgn2w5kun6uplyu5e8x7zjrt8j
[Скрыть подробности]
(1) ищите онлайн-сервисы по биткойнам
(2) регистрируйтесь и получите биткойн-кошелек
(3) купите онлайн биткойны на $500
(4) отправьте на наш биткойн-адрес выше (в жёлтом)
(5) заплатить в течение 48 часов или вы заплатите $1000 после
(6) неуплата в течение недели заставит вас потерять всё
(7) отправьте детали платежа на наш email-адрес
steverusell@mail.com
(8) мы дадим вам ключ к дешифровке \ удалению вредоноса
Введите ключ [***] [Дешифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MALABU-X.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
steverusell@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

Это пятисотый пост в блоге!!!

© Amigo-A (Andrew Ivanov): All blog articles.

Flatcher3

Flatcher3 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателя, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .flatcher3@india.com.000g и 145 байт.

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: helping.txt

Содержание записки о выкупе:
Hallo. For the help contact us: flatcher3@india.com
Your key: 
*****

Перевод записки на русский язык:
Привет. За помощью пиши нам: flatcher3@india.com
Твой ключ: 
*****

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
helping.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
flatcher3@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Flatcher3)
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.