Amnesia

Amnesia Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: Amnesia. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. По данным исследователей и результатам анализа вредоносных файлов Amnesia является продолжением шифровальщиков семейства Globe, см. генеалогию ниже. 

© Генеалогия: Globe Family > Amnesia ⇔ CryptoBoss
© Генеалогия: Globe Family > Amnesia > Amnesia-2 > Scarab Family 

К зашифрованным файлам добавляется расширение .amnesia

Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU

Стилизация сделана под амнезию (провалы в памяти) в чёрном цвете.

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!
Your personal ID:
2236824251800*****
Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).
Attention!
 * Do not attempt to remove the program or run the anti-virus tools. 
 * Attempts to self-decrypting files will result in the loss of your data. 
 * Decoders are not compatible with other users of your data, because each user's unique encryption key.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID:
2236824251800*****
Внимание! Что случилось?
Ваши документы, базы данных и другие важные данные зашифрованы.
Если хотите вернуть файлы, пришлите email на: s1an1er111@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
Внимание!
  * Не пытайтесь удалить программу или запустить антивирус.
  * Попытки самим дешифровать файлы приведут к потере ваших данных.
  * Декодеры от других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования.

Технические детали

Распространяется через RDP или может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После получения доступа к системе шифровальщик удаляет все теневые копии файлов, прописывается в автозагрузке Windows, чтобы выполняться при каждом запуске системы. Шифрует у файлов первые 1 Мб с помощью AES-256 в режиме ECB. После этого к зашифрованным файлам добавляется расширение .amnesia

Amnesia использует шаблон идентификатора жертвы, состоящих из 614 знаков.

Список файловых расширений, подвергающихся шифрованию:
7763 целевых расширения!!! Абсолютный рекорд!!!

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы многих прикладных программ, расширения от других шифровальщиков и пр.

Я упорядочил их по алфавиту, но если вставить список сюда, то он займет много текста. См. скриншоты выше. 

Удаляет теневые копии файлов, точки восстановления системы и отключает автоисправление загрузки системы командами: 
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} recoveryenabled No
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures


Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
guide.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: s1an1er111@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Globe Ransomware
Globe Family
Amnesia Ransomware
Amnesia-2 Ransomware
Scarab Ransomware
Scarab-Amnesia Ransomware
Scarab-Osk Ransomware 
{обновленный шифратор} 
Scarab-Bomber Ransomware 
и другие

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 мая 2017: 
Топик на форуме >>
Расширение: .@decrypt2017
Пример зашифрованного файла: 3w000000003pTDU3Pv3hBtVXmHS7ddEU.@decrypt2017
Статус: Файлы можно расшифровать. Ссылка на дешифровщик >> 

Обновление от 8 мая 2017:
Пост в Твиттере >>
Новые расширения: .01 и .02
Записка: RECOVER-FILES.HTML
Файлы: Happier.exe, bstarb.exe
Версия файла: 2.8.79.43
Фальш-имя: CalifrniaStl и др.
Теперь переименовывает файлы в имена, состоящие из случайных цифр и букв. 
Результаты анализов: VT, VT

Обновление от 10 мая 2017:
Пост в Твиттере >>
Расширение: .[Help244@Ya.RU].LOCKED
Email: help244@ya.ru

Обновление от 12 мая 2017:
Тема на VirusInfo >>
Расширение: .CTB-Locker 
Email: locker@bitmessage.ch
Bitmessage: BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH
Записка: !__П_Р_О_Ч_Т_И__CTB-Locker__ПРОЧТИ__ПРОЧТИ.TXT
Содержание записки на русском и английском языках: 

Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Содержание записки о выкупе (1-й вариант):
===
Your files are encrypted!
Your personal ID
628***
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
 * Sign up online http://bitmsg.me (online service for sending Bitmessage)
 * Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an 
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.1 Bitcoin (0.1 BTC ~ 200$).
If you have no Bitcoin
 * Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
 * Get cryptocurrency Bitcoin:
   https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
   https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)   (instruction for beginners)
 * Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
===
Пост на форуме >>
----------

Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Скриншот этого варианта >>

Содержание записки о выкупе (2-й вариант):
===
Your files are encrypted!
Your personal ID
6287197656087.......
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
 * Sign up online http://bitmsg.me (online service for sending Bitmessage)
 * Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an 
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.23 Bitcoin (0.23 BTC ~ 500$).
If you have no Bitcoin
 * Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
 * Get cryptocurrency Bitcoin:
   https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
   https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)   (instruction for beginners)
 * Send 0.23 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
* Do not attempt to remove the program or run the anti-virus tools
* Attempts self-decrypting files will result in the loss of your data
* Decoders are not compatible with other users of your data, because each use`s unique encryption key
===
Пост на форуме >>


Обновление от 5 июня 2017:
Расширение: .protomolecule@gmx.us
Записка: HOW TO RECOVER ENCRYPTED FILES
---
Расширение: .@decrypt_files2017
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

----------

Этот вымогательский проект закрыт и вместо него используются другие, см. схему ниже. 
This "Amnesia project" has been shut down and others ransomware is running in its place. See the Scheme.

---

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Amnesia Decrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Amnesia)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx, Fabian Wosar
 Michael Gillespie
 paradoxewan
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Cry128, X3M Next

Cry128 Ransomware

X3M Ransomware: Next Variation

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от ~0.15 BTC и больше, чтобы вернуть файлы. Оригинальное название: X3M или x3m Family.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryptON > X3M Next (Cry128) > Cry36

Этимология названия:
Cry128 основан на модифицированной версии AES, которая работает на 128 байтовых блоках и с 1024-битными ключами в режиме ECB. Отсюда название, данное ему исследователем из компании Emsisosft Фабианом Восаром.  

К зашифрованным файлам добавляется составные расширение по шаблону: 
.id_<ID_0-9{10}>_[URL_onion]._
.id_<ID_0-9{10}>_[URL_onion].63vc4

Примеры подобных расширений: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
.id-<ID_0-9{10}>_[qg6m5wo7h3id55ym.onion.to].63vc4
и другие, регулярно изменяемые для затруднения идентификации. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DECRYPT MY FILE.txt
Содержание записок отличается адресами onion-сайтов в сети Tor и подстрочным текстом. Привожу их две, чтобы было нагляднее. 

Содержание записки о выкупе:
1-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://gebdp3k7bolalnd4.onion.to (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://gebdp3k7bolalnd4.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

2-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://kgjzsyyfgdm4zavx.onion.to (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.cab (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://kgjzsyyfgdm4zavx.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ***
Чтобы расшифровать ваши файлы, вам нужно купить специальный софт. Для восстановления данных следуйте инструкциям!
Вы можете узнать подробности / задать вопросы в чате:
xxxxs://gebdp3k7bolalnd4.onion.to (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (не нужен Tor)
Ваш ID: ***
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html в адресную строку своего браузера и нажмите клавишу ENTER
3. На сайте будет предложено скачать Tor-браузер, загрузите и установите его. Запустите.
4. Соединитесь с кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера.
6. Введите или скопируйте адрес xxxx://gebdp3k7bolalnd4.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится
Если у вас возникли проблемы с установкой или использованием, посмотрите видеоуроки https://www.youtube.com/watch?v=gOgh3ABju6Q.

Страница на onion-сайтах в сети Tor

При вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: без сомнения, это одна команда вымогателей. 

Содержание текста на странице
To get the program to decrypt files You need to pay: 0.15504 BTC (~200$)
How to pay?
@ bitcoin
1. You should click Here to find out how to sign up for a Bitcoin wallet.
2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin:
• coincafe.com - Recommended for fast, simple service.
Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - The best place for Europe
• other - Or any other convenient for you service
3. Send 0.15504 BTC to Bitcoin address: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Ensure your payment information and then Click 'Check Payment'
button [Check Payment]

Перевод текста на русский язык:
Чтобы получить программу для расшифровки файлов, вам нужно заплатить: 0.15504 BTC (~200 $)
Как заплатить?
@ Биткоин
1. Вы должны нажать здесь, чтобы узнать, как зарегистрировать Биткоин-кошелек.
2. Покупка биткоинов становится проще каждый день, см. Ниже способы приобретения биткоинов:
• coincafe.com - рекомендуется для быстрого и простого обслуживания.
Методы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - лучшее место для Европы
• другие - или любые другие удобные для вас услуги
3. Отправьте 0.15504 BTC на Биткоин-адрес: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Проверьте свою платежную информацию и нажмите 'Check Payment'
кнопка [Проверить оплату]

В отличие от предыдущих версий этого семейства вымогателей, Cry128 использует платежный портал в TOR-сети и tor2web-сайты, чтобы сделать его более доступным для среднего пользователя.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы):
Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., что составляют наибольшую ценность для любого пользователя. 

Зашифрованные файлы могут иметь размер на 16 байт больше, чем исходный файл. В других модификациях различие может быть на 32 байта и больше. 

Файлы, связанные с этим Ransomware:
DECRYPT MY FILE.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
xxxx://kgjzsyyfgdm4zavx.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновления от 30 апреля 2017:
Расширения: .fgb45ft3pqamyji7.onion.to._
.id_<id>_2irbar3mjvbap6gt.onion.to._
.id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4
URL: 2irbar3mjvbap6gt.onion.to
qg6m5wo7h3id55ym.onion.to


Другой вариант записки (без указания даты):
### DECRYPT MY FILES ###.html

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry128 Decrypter для дешифровки >>

 Read to links: 
 Topic on BC, Topic on BC
 ID Ransomware (ID as Cry128)
 Write-up (added May 1, 2017)
 * 

 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Apocalypse-Missing

Missing Ransomware 

Apocalypse-Missing Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Smart Data Recovery или другое. На файле может быть написано: EXPLORER.EXE.MUI или что-то другое.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Apocalypse >> Kangaroo > Missing

К зашифрованным файлам добавляется расширение .missing 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: <note_title>.txt
Добавляется к названию каждого файла как составное расширение: .<note_title>.txt

👉 Подчёркиваю: <note_title> - это не название, а шаблон. 

Например, исходное название записки, которая прикрепляется к файлы, за который хотят получить выкуп: Contact_Data_Recovery.txt

Таким образом зашифрованный файл пример вид:
Document.doc.Contact_Data_Recovery.txt

Содержание записки о выкупе:
Your PC ran into a problem and all data got encrypted.(images, audios, videos, documents, backups... etc)
Email to recovery@mail15.com with the error information above to decrypt your PC.

Перевод записки на русский язык:
Ваш ПК имеет проблему и все данные зашифрованы (картинки, аудио, видео, документы, бэкапы и пр.)
Email на recovery@mail15.com с инфой об ошибке, чтобы расшифровать ваш ПК.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Во время первого запуска шифровальщик отображает окно с заголовком "Smart Data Recovery" с уникальным ID жертвы и ключом шифрования, которые операторы вредоноса должны сами скопировать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .missing 

Окно аналогичное как у Kangaroo Ransomware. Потому, по всей видимости, является продолжением Kangaroo Ransomware, которое принадлежит семейству Apocalypse Ransomware. 

 Скриншот с надписью "Kangaroo_Ransomware" из гибридного анализа

Окно, аналогичное тому, что было у Kangaroo

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<note_title>.txt
<random>.exe
RCX392D.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery@mail15.com
pcsolutions@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 декабря 2017:
Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: windows.reparation@mail.ru


Обновление от 19 декабря 2017:

Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: pcsolutions@mail.ru
<< Скриншот записки
Содержание записки:
Your PC ran into a critical problem and all files have been encrypted with .missing extension.
Including all partitions from all drives. Its impossible to decrypt your files by yourself or with thierd parties softwares and doing such a thing could damage all files forever.
The only safe method to recover your data is contacting the email below and purchasing for the right decrypter software.
Email: pcsolutions@mail.ru
ID code: .MISSING_AB98FE67FR 
Contact the email with your ID code and 1-2 files for free decryption to make sure the data is still safe and undamaged. If you dont receive an answer within 12 h, email again from another email service.
The faster you purchase the software the sooner you get back on track
Топик на форуме >>

 Примеры зашифрованных файлов на скомпрометированных сайтах

Обновление от 23 января 2019:
Топик на форуме >>
Расширения: .missing и .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Пример записки для файла Document.doc: 
Document.doc.Contact_Data_Recovery.txt
Email: restore_2019@mail.ru
Примерная атака: Ориентированы на сервера предприятий и организаций. Подбирают пароль администратора и входят через удаленный рабочий стол, вручную копируют программу-вымогатель, запускают на выполнение и по окончании зачищают следы. 



Обновление от 27 июля 2019 или раньше:
Расширение: .Contact_Data_Recovery.txt
Записка: Contact_Data_Recovery.txt / добавляется к названию каждого файла как составное расширение: .Contact_Data_Recovery.txt
Email: dataforward@bk.ru

Сообщение от 9 января 2020:
Пост в Твиттере >>
Email: dataforward@bk.ru
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Apocalypse (New Variant))
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PyteHole

PyteHole Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название: pyte-hole или pyteHole. Разработчик: peter. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: my-Little-Ransomware >> PyteHole

К зашифрованным файлам добавляется расширение .adr

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа отсутствуют. Вероятно, пока недоработан. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивых PDF), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются только файлы в специfльной папке на рабочем столе. Директории дисков не затрагиваются. 

Список файловых расширений, подвергающихся шифрованию:

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pyte-hole.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

Сетевые подключения и связи:
traffic.pasmik.net (37.9.175.3:443, Словакия)
www.download.windowsupdate.com (88.221.14.137)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.