FuckTheSystem

FuckTheSystem Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует ввести пароль, чтобы вернуть файлы. Оригинальное название. Относится к группе вымогателей Stupid Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .anon

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Decrypt:

Содержание записки о выкупе:
Your All File Are Encrypted
Enter Passwors For Decrypted Your Files
button [Decrypted]

Перевод записки на русский язык:
Твои Все Файл Зашифрован
Введи Пароль Для Дешифровки Твоих Файлов
кнопка [Decrypted]

Пароль разблокировки: 
hexobon

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypto.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FrozrLock

FrozrLock Ransomware

AutoDecrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью Twofish256 или AES256, или RSA4096 (функция настраивается), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Locker. Ранее был известен как FileFrozr, распространялся как RaaS. 

© Генеалогия: FileFrozr RaaS > FrozrLock (AutoDecrypt)

 

К зашифрованным файлам добавляется расширение *нет данных* (функция настраивается).

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
Hello, stay calm because all your files can be decrypted again we just need your contribution and you can have access to all your files today.
The process for you to have all your files that have been encrypted again is totally automatic and the payment of your contribution must be done in Bitcoins.
If you do not know Bitcoin you just type in google how to buy Bitcoins in your country or visit the address http://localbitcoins.com and you can buy Bitcoins to be able to pay the contribution and have access to all
your files again.
The only way to get your files back is to pay our contribution in case you try to erase our systems with some antivirus or somehow your files will be lost forever and no one else will be able to decrypt since they are encrypted with a cryptography of 512 Bits and only our automatic system when detecting payment can decrypt your files.
To get your files back you just need to get the value and payment address on this website
http://iwantmyfiles.asia/payment.php?iD=*****
Your ID: *****

Перевод записки на русский язык:
Привет, сохраняйте спокойствие, потому что все ваши файлы могут быть расшифрованы снова, нам просто нужен ваш вклад, и вы получите доступ ко всем вашим файлам сегодня.
Процесс обновления всех файлов, которые были зашифрованы, полностью автоматизирован, и оплата вашего вклада должна быть произведена в биткойнах.
Если вы не знаете про биткойны, просто наберите в Google, как купить биткойны в вашей стране, или посетите адрес http://localbitcoins.com, и вы сможете купить биткойны, чтобы заплатить за вклад и снова получить доступ ко всем вашим файлам.
Единственный способ вернуть ваши файлы - это внести свой вклад, в случае, если вы попробуете очистить систему с помощью какого-то антивируса, то ваши файлы будут потеряны навсегда, и никто другой не сможет расшифровывать, т.к. они зашифрованы с помощью 512-битного шифрования и только наша автоматическая система при обнаружении платежа могут расшифровать ваши файлы.
Чтобы вернуть ваши файлы, вам просто нужно получить стоимость и адрес оплаты на этом веб-сайте.
http://iwantmyfiles.asia/payment.php?iD=*****
Ваш ID: *****

 

Скриншоты экрана блокировки-разблокировки

Распространяется через JS-загрузчик с помощью email-спама и вредоносных вложений (пример, Contract_432732593256.js), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет все теневые копии файлов командой:
vssadmin.exe delete shadows / ALL / Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt
Locker.exe
update.exe
contract.exe
Contract_Sign_393487329743.pdf.exe
Locker_ID.txt
file_list.txt

Расположения:
AppData\Roaming\update.exe
AppData\Roaming\Locker_ID.txt
AppData\Roaming\file_list.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://iwantmyfiles.asia
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FrozrLock)
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Maykolin

Maykolin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название неизвестно.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение 
.[maykolin1234@aol.com]

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.maykolin1234@aol.com.txt и ещё в html или hta с тем же текстовым содержанием. 

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.If you want to restore them, write us to the e-mail maykolinl234@aol.com
Your ID number is *** Write your ID number in e-mail and send us.
You have to pay for decryption in Bitcoins.The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buv-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email maykolinl234@aol.com
Ваш ID: *** Напишите ваш ID в email и отправьте нам.
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам. После оплаты мы вышлем вам инструмент дешифровки, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной дешифровки. Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 10 МБ.
Как получить биткоины
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buv-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют их к нашим), или вы можете стать жертвой мошенничества.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Это крипто-вымогатель генерирует уникальный AES-ключ для каждого файла, используя первые 65 байтов файла, затем шифрует первые 300 байт с помощью RSA-4096, а потом использует этот ключ AES для шифрования остальной части файла. Нет способа восстановить байты, которые производят ключ. Даже, если при наличии оригинального файла сгенерировать ключ для расшифровки большей части файла, то первые 300 байт всё равно останутся надёжно зашифрованы. Так как, это возможно только при наличии оригинального файла, то вряд ли возможно дешифровать все файлы. Ведь если бы все они имели копии, то и дешифровка была бы не нужна. (Подробности от Майкл Джиллеспи).

Файлы, связанные с этим Ransomware:
README.maykolin1234@aol.com.txt
crypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: maykolin1234@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Топик на форуме >>
Расширение: .[fuga139gh@dr.com]
Email: fuga139gh@dr.com
Записка: README.fuga139gh@dr.com.txt
Содержание записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.If you want to restore them, write us to the e-mail fuga139gh@dr.com
Your ID number is [redacted]. Write your ID number in e-mail and send us.
You have to pay for decryption in Bitcoins.The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 10Mb. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Maykolin)
 Write-up, Topic
 * 

 Thanks: 
 SecPanda
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Extractor

Extractor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателя, чтобы вернуть файлы. Оригинальное название. Написан на Delphi.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .xxx

Активность этого крипто-вымогателя пришлась на конец апреля - начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe_XXX.txt

Содержание записки о выкупе:
Hello,
I crypted all your important data
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your computer Number.
Your computer Number: 125
e-mail : serverrecovery@mail.ru

Перевод записки на русский язык:
Привет,
Я зашифровал все ваши важные данные
Я сохранил зашифрованные данные на вашем жёстком диске.
Если вы хотите вернуть свои данные, пришлите мне на email номер вашего компьютера.
Номер вашего компьютера: 125
Email : serverrecovery@mail.ru

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_XXX.txt
ip topoloji.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: serverrecovery@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Extractor)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Freshdesk

Freshdesk Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .www

Активность этого крипто-вымогателя пришлась на конец апреля - начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: restore_files.html

Содержание записки о выкупе:
Your files are Encrypted!
For data recovery needs decryptor.
To buy the decryptor, you must pay the cost of: 0.5 Bitcoin
button [Buy Decryptor] 
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
To send a message or file use this form:
*****
Freshdesk form

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для восстановления данных нужен декриптер.
Чтобы купить декриптер, вы должны заплатить: 0,5 биткойн
кнопка [Купить Декриптер]
Бесплатная дешифровка как гарантия.
Перед оплатой вы можете отправить нам 1 файл для бесплатной дешифровки.
Для отправки сообщения или файла используйте эту форму:
****
Форма Freshdesk

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restore_files.html
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Stupid

Stupid Ransomware

(OSR, группа шифровальщиков)

Это группа шифровальщиков-вымогателей и фейк-шифровальщиков, относящихся к условному семейству Stupid-based Ransomware, т.н. барахольных вымогателей, созданных на основе Stupid Ransomware, проекта с открытым исходным кодом (англ. open-source junk code), размещенным на GitHub. Они используют статические ключи шифрования и, следовательно, их легко расшифровать. 

Проекты на основе OSR Stupid Ransomware обычно используются малоопытными разработчиками, и многие из них используют темы, основанные на фильмах, поп-культуре или притворяются правоохранительными органами. 
Сокращение OSR (от англ. open-source ransomware) введено и используется на этом сайте. 

Вот скриншот одного из вариантов Stupid Ransomware.

Название Stupid (англ. "дурацкий, тупой") дано расширяемой группе вымогателей, для которых Майкл Джиллеспи регулярно обновляет свой специальный дешифровщик Stupid Decryptor.

Другое известное название этого семейства: FTSCoder. В эту группу разработчик дешифровщика включил следующих вымогателей (названия даны по алфавиту):

AnDROid Ransomware - расширение .android - добавлено 28.03.2017
Annabelle Ransomware - расширение .ANNABELLE - добавлено 19.02.2018
BlackSheep Ransomware - расширение .666 - добавлено 29.05.2017
Crypt0 Ransomware - расширение _crypt0 - добавлено 04.02.2017
Crypto-Blocker Ransomware - расширение .corrupted - добавлено 07.05.2017
CryptoDevil Ransomware - расширение .devil - добавлено 20.03.2017
CryptoLocker by NTK - расширение .powned - добавлено 17.02.2017
CryptoSomware Ransomware - расширение .FailedAccess - добавлено 24.04.2017
DeriaLock Ransomware - расширение .deria - добавлено 04.02.2017
DoNotOpen Ransomware - расширение .killedXXX - добавлено 04.02.2017
Dragnea Ransomware - расширение .dragnea - добавлено 31.07.2018
EnkripsiPC Ransomware - расширение .fucked - добавлено 04.02.2017
Eternity Ransomware - расширение .eTeRnIty - добавлено 02.12.2017
FuckTheSystem Ransomware - расширение .anon - добавлено 01.05.2017
H34rtBl33d Ransomware - расширение .H34rtBl33d  - добавлено 30.03.2018
Harzhuangzi Ransomware (tw) - расширение .Harzhuangzi - добавлено 10.02.2017
Haters Ransomware - расширение .haters - добавлено 02.05.2017
Hitler Ransomware - расширение .Nazi - добавлено 04.02.2017
IGotYou Ransomware  - расширение .iGotYou  - добавлено 22.11.2017
JeepersCrypt Ransomware - расширение .jeepers - добавлено 22.04.2017
Madafakah Ransomware - расширение .fucking - добавлено 26.05.2017
Manifestus Ransomware - расширение .fucked - добавлено 04.02.2017
Mikoyan Ransomware - расширение .MIKOYAN - добавлено 01.05.2017
Mr403Forbidden Ransomware - расширение .alosia - добавлено 17.07.2017
NIBIRU (Hackers Invasion) Ransomware - расширение .Doxes - добавлено 17.09.2017

NoCry Ransomware - расширение .Cry  - добавлено 23.04.2021

NullByte Ransomware - расширение _nullbyte - добавлено 04.02.2017
SecretSystem Ransomware - расширение .slvpawned - добавлено 13.05.2017
SnakeEye Ransomware (tw) - расширение .SnakeEye - добавлено 17.04.2017
TeslaWare Ransomware - расширение .Tesla - добавлено после 21.06.2017
Try2Cry Ransomware  - расширение .Try2Cry - добавлено 03.07.20
WanaDie Ransomware (tw) - расширение .WINDIE - добавлено после 26.05.2017
WhyCry Ransomware - расширение .whycry - добавлено. 13.06.2017
XmdXtazX Ransomware - расширение .XmdXtazX добавлено 17.09.2017
Xncrypt Ransomware - расширение .xncrypt - добавлено 02.05.2017
Zyka Ransomware - расширение .lock - добавлено 04.02.2017

А также другие вымогатели, использующие расширения для зашифрованных или заблокированных файлов (отсутствующие в списке выше):
.adam
.anon
.bycicle
.crypted
.encrypt
.fun
и другие.

Возможно, что родство некоторых из них сомнительное, но дешифровщик для них один и это главное. 

Этот список регулярно дополняется. 

Степень распространённости: средняя.
Подробные сведения регулярно дополняются.

Внимание!
Для зашифрованных файлов есть общий декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 ID Ransomware (ID as Stupid Ransomware)
 Дешифровщики-файлов
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 BleepingComputer
 and other volunteers

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoBoss

CryptoBoss Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: CryptoBoss. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. Второй проект разработчиков-вымогателей, создавших Amnesia Ransomware. Следы вымогателей прямиком ведут в Украину. 

© Генеалогия: Globe Family > Amnesia ⇔ CryptoBoss

К зашифрованным файлам добавляется расширение .CRYPTOBOSS
Оригинальные имена файлов изменяются до неузнаваемости. 

Пример зашифрованного файла:
8g000000003d7joOJplTwwPtp8oxyU8TntyYwPC0USaK2afms3SnPuG9NDW-BQUXDvgOiedOiss.CRYPTOBOSS

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
All your files have been encrypted
Your ID:
7948013710631*****
All your files have been encrypted
If you want to restore them, write us to the e-mail: admin-amnesia@protonmail.com or admin-amnesia@bigmir.net
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 1 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key has been deleted and you cant decrypt your files.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы
Ваш ID:
7948013710631 *****
Все ваши файлы были зашифрованы
Если хотите вернуть файлы, пришлите email на адрес электронной почты: admin-amnesia@protonmail.com или admin-amnesia@bigmir.net
Вы должны заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент дешифровки, который дешифрует все ваши файлы.
БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ
До оплаты вы можете прислать нам 1 файл на бесплатную дешифровку.
Заметьте, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 1 МБ
Внимание!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровать свои данные сторонними программами, это может привести к потере данных
Если вы не напишете на email за 3 дня - ваш ключ был удален, и вы не сможете расшифровать свои файлы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: admin-amnesia@protonmail.com
admin-amnesia@bigmir.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private