WTDI

WTDI Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на номер ICQ, чтобы узнать сумму выкупа за файлы. Оригинальное название неизвестно. На файле написано: CryptoWall. Фальш-имя: CryptoWall. Написан на языке программирования .NET. Файлы можно дешифровать. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .wtdi

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе (ошибки на совести вымогателей):
В общем сори, но мы тут немного пошалили и зашифровали все твои документы. Если хочешь расшифровать их то нужно платить. Как говорится бесплатна только мышь в мишиловке =)) Будь паенькой и заплати. А то не ведать тебе файликов твоих =)
Вот номер счета: 8978967983
А это связь с нами: 150 893770
мы там скажем столько будет стоить дешифратор...

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoWall.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Это можно дешифровать
См. информацию по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Deos

Deos Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальные названия: Deos и Locker.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Deos

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа является изображение. По всей видимости работа над шифровальщиком ещё не завершена. 

Содержание записки о выкупе:
ALERT !
ALL YOUR FILES HAVE BEEN ENCRYPTED
THE KEY FOR DECRYPTION IS STORED ON OUR PRIVATE SERVER, TO GET IT YOU NEED TO
PAY A RANSOM IN BITCOIN OF 0.1 BTC TO THE FOLLOWING ADDRESS:
1XU9D0WA0IDWAI0DAWWDA09
AFTER PAYMENT, INSERT THE
TRANSACTION URL IN THE SPACE BELOW AND WAIT FOR DECRYPT.
THERE IS NO OTHER WAY TO DECRYPT YOUR FILES, EXCEPT PAYING.
YOUR KEY WILL BE DESTROYED AFTER THE TIMER REACHES 0.

Перевод записки на русский язык:
Тревога!
Все ваши файлы были зашифрованы
Ключ для дешифрования хранится на нашем частном сервере, для его получения вам надо
уплатить выкуп в 0.1 биткойна на следующий адрес:
1XU9D0WA0IDWAI0DAWWDA09
После оплаты вставьте URL-адрес транзакции в поле ниже и дождитесь расшифровки.
Не существует другого способа расшифровки ваших файлов, кроме оплаты.
Ваш ключ будет уничтожен после того, как таймер достигнет 0.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .xls, .xlsx, .xml (20 расширений). 

Это документы MS Office, OpenOffice, текстовые файлы, веб-страницы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
Locker.exe
графическое изображение

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Priapos

Priapos Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.5 BTC, чтобы вернуть файлы. Оригинальное название: PRIAPOS. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .PRIAPOS

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instructions!!!.hta

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.
15643990****
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the e-mail mk.priapos@bigmir.net 
Before paying you can send us up to 1 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
The amount you need to pay to receive your files 1.5(Bitcoin)
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
• Bitcoin: 
http://www.localbitcoins.com (Visa/MasterCard, QIWI Visa Wallet, Bank Transfer.) 
1.5 BTC 
If I can not connect through the mail, I can not
• mk.priapos@bigmir.net
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
Attention!
• Do not try to uninstall the program or run antivirus software
• Attempts to self-decrypt the files will lead to the loss of your data
• Decoders of other users are incompatible with your data, as each user has a unique encryption key

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
15643990 ****
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы. Если вы хотите их восстановить, напишите нам на email mk.priapos@bigmir.net
Перед оплатой вы можете отправить нам 1 файл на бесплатную расшифровку. Общий размер файлов должен быть меньше 10 МБ (не архив), а файлы не должны содержать ценной информации.
Сумма, которую вы должны заплатить, чтобы получить ваши файлы 1.5 (биткоин)
Как получить биткоины
• Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткоины» и выбрать продавца по способу оплаты и цене.
• Биткоин:
http://www.localbitcoins.com (Visa/MasterCard, QIWI Visa Wallet, банковский перевод.)
1,5 BTC
Если я не могу подключиться к почте, я не могу
• mk.priapos@bigmir.net
В ответном письме вы получите программу для расшифровки.
После запуска программы дешифрования все ваши файлы будут восстановлены.
Внимание!
• Не пытайтесь удалить программу или запустить антивирусную программу.
• Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользователь имеет уникальный ключ шифрования

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instructions!!!.hta
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mk.priapos@bigmir.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Topic of Support
 * 

 Thanks: 
 sectionsecure (owner of the affected PC)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CVLocker

CVLocker Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
CVLocker
oops, your files are encrypted.
why you ask? well, you been have found doing the following:
- Watching MLG Montage Parodies
- Expanding Dong
- Creating Bonzi Buddy
Time left untill your files are deleted:
60
To decrypt your files, send an email to fuck-off-from-my-p...

Перевод записки на русский язык:
CVLocker
Упс, твои файлы зашифрованы.
почему, спросишь ты? Ну ты нашел следующее:
- Смотреть пародии на MLG Montage
- Расширить Dong
- Создать Bonzi Buddy
Время, оставшееся до удаления ваших файлов:
60
Для расшифровки файлов отправьте письмо на fuck-off-from-my-p ..

Позиционируется как программа-шутка. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CVLocker.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Widia

Widia Ransomware
WidiaLocker Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует неназванный выкуп, чтобы вернуть файлы. Оригинальное название. На файле написано: client. Разработчик: Sorin. Фальш-копирайт: Microsoft 2017. Ничего не шифрует или находится в разработке. Для Windows x86. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки. Его можно закрыть комбинацией клавиш: Alt+F4. В левом верхнем углу есть надпись на румынском: De la Sorin pt voi. (перевод: "От Сорина тебе"). 

Содержание записки о выкупе:
Your documents, photos, databases and other important files have been encryptedwith the strongest encryption and unique key, generated for this computer. Privatedecryption key is stored on a secret Internet server and nobody can decrypt yourfiles until you pay and obtain the private key. The server will eliminate the key after atime period specified in this window.

Перевод записки на русский язык:
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ. Сервер удалит ключ после периода времени, указанного в этом окне.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
client.exe
b60e87widia.exe
<random>.exe
oops.rr
oobelx.dt
b60e87widia.ini
wd0w.exe

Расположения:
%WINDIR%\b60e87widia.exe
%WINDIR%\oops.rr
%WINDIR%\oobelx.dt
%WINDIR%\b60e87widia.ini
%WINDIR%\wd0w.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VMola

VMola Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам расширение не добавляется. 
Вместо этого используется комбинация filemarker ***Encrypted by vmola.com*** + base64. 

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom.rtf

Содержание записки о выкупе:
! YOUR FILES HAVE BEEN ENCRYPTED !
To decrypt your files send 0.1 BTC to 3HuREAXxTzx9XnmTKz1xi7RPycjsQsc7NN9
and add your email as note.

Перевод записки на русский язык:
! ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Для расшифровки файлов пошли 0.1 BTC на 3HuREAXxTzx9XnmTKz1xi7RPycjsQsc7NN9
и добавь свой email как примечание.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
1c24e5b9cf7dbc0630ac528ba36ae6cb(Encrypted_By_VMola.com).ico - переименованный exe-файл
Ransom.rtf
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VMola)
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Damoclis gladius

Damoclis Gladius Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Damoclis gladius Ransomeware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M ⟺ Nemesis ⟺ СryptON > Cry9, Cry36, Cry128 > Damoclis gladius

К зашифрованным файлам добавляется расширение .damoclis

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html 

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Damoclis gladius Ransomeware
To decrypt your files you need to buy the special software - «Damoclis gladius decryptor»
To recover data, follow the instructions!
You can find out the details/ask questions in the e-mail:
ransomed@india.com
You can find out the details/ask questions in the chat:
xxxx://45pivhvier7acz3d.onion.to (not need Tor)
xxxxs://45pivhvier7acz3d.onion.cab (not need Tor)
xxxx://45pivhvier7acz3d.onion (need Tor)
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.orq/download/download-easv.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://45pivhvier7acz3d.onion/ in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Your personal identification ID: 369209069

Перевод записки на русский язык:
ВСЕ ВАША РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Damoclis gladius Ransomeware
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Damoclis gladius decryptor»
Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать подробности / задать вопросы по email:
ransomed@india.com
Вы можете узнать подробности / задать вопросы в чате:
xxxx://45pivhvier7acz3d.onion.to (не нужен Tor)
xxxxs://45pivhvier7acz3d.onion.cab (не нужен Tor)
xxxx://45pivhvier7acz3d.onion (нужен Tor)
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https: //www.torproject.orq/download/download-easv.html в адресную строку вашего браузера и нажмите клавишу ВВОД
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://45pivhvier7acz3d.onion/ в адресную строку Tor-браузера и нажмите клавишу ВВОД
7. Подождите, пока сайт загрузится.
// Если у вас возникли проблемы с установкой или использованием, посетите видеоурок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Ваш личный идентификатор ID: 369209069

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ransomed@india.com
Tor: xxxx://45pivhvier7acz3d.onion.to
xxxxs://45pivhvier7acz3d.onion.cab
xxxx://45pivhvier7acz3d.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

См. выше Генеалогия. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 июля 2018:
Email: ransomed@india.com
Bitmessage: BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
Tor-URL: xxxxs://cryptxf3zamy5kfz.tor2web.link
xxxxs://cryptxf3zamy5kfz.onion.plus
xxxx://cryptxf3zamy5kfz.onion/
➤ Содержание записки:
You can learn more / request e-mail:
ransomed@india.com
You can learn more/questions in the chat:
xxxxs://cryptxf3zamy5kfz.tor2web.link (not need Tor)
xxxxs://cryptxf3zamy5kfz.onion.plus (not need Tor)
xxxx://cryptxf3zamy5kfz.onion/ (need Tor)
You can learn more problem out bitmessage:
xxxxs://bitmsg.me/ BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
- If the resource is unavailable for a long time to install and use the terms of reference of the browser:
1. + Start the Internet browser
2. + Type or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. + On the website you will be prompted to download the Tor browser, download and install it. To work.
4. + Connection, click "connect" (using English version)
5. + After connecting, open a normal window Tor-browser
6. + Type or copy the address xxxx://cryptxf3zamy5kfz.onion/ in the address bar of Tor-browser and press key ENTER
7. + Wait for the download site
// + If you have any problems with installation or usage, please visit the video: 
xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 victim in the topic of support
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Decryption Assistant

Decryption Assistant Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное названия: FlashPlayerUpdate и Decryption Assistant.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Decryption Assistant

К зашифрованным файлам добавляется расширение .pwned

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
YOUR OPERATING SYSTEM AND DATA HAS BEEN COMPROMISED
All important data including your personal pictures, music, videos, documents and many more has been encrypted. The data cannot be recovered unless a fee has been paid to decrypt them.
The private decryption key for the data has been stored on our server and will be sent to this computer once the payment is sent. Any attempt to removing this software will lead an immediate destruction to the private key.
To obtain your decryption key, you will first need a bitcoin wallet to send us the payment. You can start the process by clicking <Decrypt Files> which will start the payment process. 
We advise you immediately buy the bitcoins before the countdown timer drops to zero which will immediately destroy your private key.
button [Payment Status]
button [Decrypt Files]

Перевод текста на русский язык:
ВАША ОПЕРАЦИОННАЯ СИСТЕМА И ДАННЫЕ CКОМПРОМЕТИРОВАНЫ
Все важные данные, включая ваши личные фотографии, музыку, видео, документы и многое другое, были зашифрованы. Данные не будут восстановлены, если не получена плата за их дешифрование.
Закрытый ключ дешифрования данных хранится на нашем сервере и будет отправлен на этот компьютер после получения платежа. Любая попытка удаления этой программы приведет к немедленному уничтожению закрытого ключа.
Чтобы получить ключ дешифрования, вам нужно завести биткоин-кошелек, чтобы отправить нам платеж. Вы можете начать процесс, нажав <Decrypt Files>, который запустит процесс оплаты.
Мы советуем вам срочно купить биткоины до того, как таймер обнулится, что немедленно уничтожит ваш закрытый ключ.
Кнопка [Payment Status] (Статус платежа)
Кнопка [Decrypt Files] (Расшифровать файлы)

Пока находится в разработке, но после доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (для FlashPlayer в частности), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx,.exe, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, файлы веб-страниц, проекты Visual Studio, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
FlashPlayerUpdate.exe
key.txt
\Downloads\HANSA

Расположения:
c:\chicken\ - папка для шифрования
\Desktop\key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.