VevoLocker

VevoLocker Ransomware

(шифровальщик-вымогатель для веб-сайтов)

Этот крипто-вымогатель шифрует данные на взломанных сайтах, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Используется фраза: Hacked by Vevo. Отсюда название. 
По внешнему виду напоминает известный шифровальщик WanaCrypt0r.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
Ooops, your website have been encrypted!
What happened to mv website ?
Your important website files are encrypted. Many of your .php, .css. .js, and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time! Nobody can decrypt your files without our special decryption service.
Can i recover my website ?
Sure, we guarantee that you can recover all your files safely and easily. But you have not enough time. You can decrypt all your website file safely, how ? You must pay with Bitcoin.
How do i pay ?
Payment is accepted with Bitcoin only, we are not using Paypal. CC, etc. For more information please click [About BitCoin]. For more information, click [How to buy BitCoin]
And send the correct amount to the address specified in below After your payment, send payment receipt to email address [Contact Us], and we will send unlock key to you.
Contact ?
If you need our assistance, send a message by clicking [Contact Us]
Payment 0.2 BTC = 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
Key [...] 
button [UNLOCK SITE]

Перевод записки на русский язык:
Упс, ваш сайт зашифрован!
Что случилось с веб-сайтом?
Ваши важные файлы сайта зашифрованы. Многие из ваших .php, .css. .js и другие файлы больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время! Никто не может расшифровать ваши файлы без нашей специальной службы расшифровки.
Могу ли я восстановить мой сайт?
Конечно, мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени. Вы можете безопасно расшифровать все файлы своего сайта, как это сделать? Вы должны заплатить биткоины.
Как заплатить?
Оплата принимается только в биткоинах, мы не используем Paypal, CC и т.д. Для получения дополнительной информации нажмите [About BitCoin]. Для получения дополнительной информации щелкните [How to buy BitCoin]
И отправьте правильную сумму по адресу, указанному ниже. После оплаты, отправьте квитанцию ​​о получении на email-адрес [Contact Us], и мы отправим вам ключ разблокировки.
Как связаться?
Если вам нужна наша помощь, отправьте сообщение, нажав [Contact Us]
Оплата 0.2 BTC = 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
Ключ [...]
Кнопка [UNLOCK SITE]

Технические детали

Распространяется посредством взлома по RDP, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.css. .htm, .html, .js, .php и другие веб-файлы и файлы серверов. 

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://7pkiy4j5sk47qy2u.onion
BTC: 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
BTC: 1N7Nw8dHT4WyPY3CJcZHUVkwbJteV22rLJ
Сумма выкупа: 0.0057 
Новый скриншот >> 

Публикация в СМИ >>
23 апреля этот крипто-вымогатель атаковал сайт канадской провинции о. Принца Эдварда. Сообщается, что обошлось без тяжёлых последствий. 

Обновление от 24 апреля 2018:
BTC: 1MjMSV1TSJ5eyAUg4nY98k19FrntRYZ8gm
Сумма выкупа: 0.1
Email: zakarai0611420990@gmail.com
Новый скриншот >>

Публикация в СМИ >>

24 апреля хакеры под псевдонимом X-zakaria атаковали сайт министерства энергетики и угольной промышленности Украины www.mev.gov.ua и установили этот крипто-вымогатель. Сообщается, что для разрешения данной проблемы была создана рабочая группа с привлечением специалистов по кибербезопасности. Работу сайта планируют восстановить в ближайшее время.

Скриншот официальной страницы в Facebook

В данный момент сайт xxxx://www.mev.gov.ua перенаправляет на адрес xxxx://mpe.kmu.gov.ua

Скриншот сайта mpe.kmu.gov.ua

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 David Montenegro‏
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Dviide

Dviide Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует перейти по адресу, чтобы получить ключ дешифрвоания. Оригинальное название: Dviide. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dviide

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Dviide
Your important files and documents have been encrypted by Dviide! This means that you will be no longer able to access these files without a key. To get this key go to: xxxxs://dviide.xyz/ or 212.237.25.151
Paste your encryption key here:
[Reset] [Decrypt my files!] [Prove Decryption]

Перевод записки на русский язык:
Dviide
Ваши важные файлы и документы были зашифрованы Dviide! Это значит, что вы больше не сможете получить доступ к этим файлам без ключа. Чтобы получить этот ключ, перейдите по адресу: xxxxs://dviide.xyz/ или 212.237.25.151
Вставьте ключ шифрования здесь:
[Reset] [Decrypt my files!] [Prove Decryption]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Dviide)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SmartRansom Chinese

SmartRansom

Chinese Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует отсканировать код с экрана и заплатить ему, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: неизвестна.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Сначала отображает изображение с девушкой, а затем экран блокировки с текстом на китайском. 

Экран блокировки выступает запиской с требованием выкупа:

Содержание текста о выкупе:
你好
你一定很想知道我是谁
我告诉你吧，我是你爹
我把你电脑里重要文件都加密了
你一定很想打我对不对
扫描屏幕上的二维码，向我付款
芫事后我会给你解密工具
记得把屏幕上方的密钥记下来哦
这样我才能帮你解密嘛

Перевод записки на русский язык:
Привет
Ты хочешь знать, кто я?
Отвечаю, я твой отец.
Я зашифровал твои важные компьютерные файлы 
Ты хочешь узнать как их вернуть? 
Отсканируй двоичный код с экрана, заплати мне.
Я дам тебе инструмент дешифрования.
Не забудь записать ключ из верхней части экрана.
Чтобы я мог помочь тебе расшифровать это.

✌ Экран блокировки можно закрыть с помощью комбинации клавиш Alt+F4. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию, если оно сработает:

.au3, .BMP, .CUR, .doc, .docx, .GIF, .ICO, .JPG, .MID, .MIDI, .pdf, .PNG, .ppt, .pptx, .prn, .psd, .rar, .txt, .WAV, .xls, .xlsx, .zip (22 расширения). 

Это файлы MS Office, текстовые файлы, фотографии, музыка, файлы иконок, архивы и пр.

Файлы, связанные с этим Ransomware:
SmartRansom.exe
AArI.jpg

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.eyuyan.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crying

Crying Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название Crying, но в записке также называется Cry Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Crying

К зашифрованным файлам добавляется расширение .crying

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Информатором о выкупе также выступает экран блокировки, содержащий также вспомогательный информационный экран с вопросами-ответами. 

Содержание записки о выкупе:
Your're Files have been encrypted.
Please read the program to learn how to decrypt your files.
if the program won't open so you can read it. You can start the program again and again until it opens the form with the information displayed.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Прочитайте программу, чтобы узнать, как расшифровать ваши файлы.
Если программа не откроется, чтобы вы могли ее прочитать. Вы можете запустить программу снова и снова, пока не откроется форма с информацией.

Содержание текста с экрана "Crying":Bitcoin Address:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Please Click the button to see what happend to your computer.
Closing this window will result in files being deleted.
button [What Happend?]

Перевод экрана "Crying" на русский язык: Биткоин-адрес:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Нажмите кнопку, чтобы узнать, что случилось с вашим компьютером.
Закрытие этого окна приведет к удалению файлов.
Кнопка [What Happend?] (Что случилось)

Содержание текста с экрана "Info":
Q: What has happend to my computer?
A: Your Computer is Infected by "Cry" Ransomware.
---
Q: Can i remove this?
A: Yes, Just send 0.05 Bitcoins to the address on the main page.
---
Q: AnyWay i can get my files back?
A: Yes, Although it's highly unlikely to happen.
---
Q: Why has this happend to me?
A: You downloaded something leaked/Cracked/Downloaded this itself.
---
Q: Is this some type of joke? 
A: Check your files. They all have have the extension .crying
---

Перевод экрана "Info":
В: Что случилось с моим компьютером?
О: Ваш компьютер заражен "Cry" Ransomware.
---
В: Могу ли я удалить это?
О: Да, просто пришлите 0.05 биткоина по адресу на главной странице.
---
В: Как-то ещё я могу вернуть свои файлы?
О: Да, хотя это вряд ли произойдет.
---
В: Почему это случилось со мной?
О: Вы скачали что-то уязвимое/взломанное /само загрузилось.
---
В: Это какая-то шутка?
О: Проверьте файлы. У всех их есть расширение .crying
---

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ECRYING.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Adonis

Adonis Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название. Написано на AutoIT. Файлы не шифрует или не доработан. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
EN.html
DE.html

Содержание записки о выкупе:
ADONIS RANSOMWARE
Your computer has been blocked and your documents, photos, databases and other important files have been encrypted!
To unblock your computer and decrypt your files you must follow the instructions below.
This is the only possibility to unblock your computer and get your files back.
All transactions should be performed via Bitcoin network only.
Instructions:
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.1 Bitcoins)
Here are our recommendations:
LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu - the best for Europe;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.1 BTC (Bitcoins) to the following address:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Your computer will be unblocked and your files will be decrypted automatically!

Перевод записки на русский язык:
ADONIS RANSOMWARE
Ваш компьютер заблокирован и ваши документы, фото, базы данных и другие важные файлы были зашифрованы!
Чтобы разблокировать ваш компьютер и расшифровать ваши файлы, вы должны следовать инструкциям ниже.
Это единственная возможность разблокировать ваш компьютер и вернуть файлы.
Все транзакции должны выполняться только через сеть Bitcoin.
Инструкции:
1. Создайте Биткоин-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов (0.1 биткойна)
Вот наши рекомендации:
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткоины;
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткоины;
BTCDirect.eu - лучшее для Европы;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - быстро узнайте, как купать и продать биткоины в местной валюте.
3. Отправьте 0.1 BTC (биткоин) по следующему адресу:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ваш компьютер будет разблокирован и ваши файлы будут дешифрованы автоматически!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
EN.html
DE.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 ​​MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Madafakah

Madafakah Ransomware

FTSCoder Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует купить код, чтобы дешифровать файлы. Оригинальное название. На файле написано: madafakah. Фальш-копирайт: Microsoft. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: основан на Stupid (FTSCoder)

К зашифрованным файлам добавляется расширение .fucking

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных и, судя по данным Google-переводчика, суданских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
waduuh, filenya terEncript niih
button [Decrypt]
Don't close before Decrypted

Перевод записки на русский язык:
К сожалению файлы зашифрованы
кнопка [Decrypt]
Не закрывайте до Дешифровки

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
madafakah.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Oled

Oled Ransomware

(шифровальщик-вымогатель) (первоисточник)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название неизвестно.

© Генеалогия: Oled ⇔ Amnesia-2
© Генеалогия: Cryakl > Oled ⇒ Oled 2019 > Makop

Использованные символы, см. статью "Генеалогия": 

'⟺' или '<=>' - родство без указания более раннего; 

'⇒' или '=>' - переход на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .oled

Этимология названия расширения и вымогателя:

1) маловероятно, что от OLED (англ. organic light-emitting diode); 

2) скорее вcего это перевернутое русское слово "delo" (дело). Тем более вымогатели знают руссий язык. 

Целиком шаблон переименованного файла выглядит так: 

filename.[black.mirror@qq.com].oled

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTION.txt

Содержание записки о выкупе:
Your ID: 
*****
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: black.mirror@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 5Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename or move encrypted files - this may compromise the integrity of the decryption process
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Ваш ID:
*****
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на email: black.mirror@qq.com
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ РАСШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 5 МБ
Как получить биткоины
Самый простой способ купить биткоин - это сайт LocalBitcoins.
Вы должны зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене https://localbitcoins.com/buy_bitcoins
Внимание!
Не переименовывайте и не перемещайте зашифрованные файлы - это может навредить процессу дешифрования
Не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к потере данных.

Содержание записки о выкупе очень похоже на записку из OnyonLock Ransomware.

В любом случае, текст был использован повторно. 

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: black.mirror@qq.com

🚩 Этот адрес использовался в разных проектах вымогателей: CrySiS, Cryakl, BTCWare, Dharma, Oled. 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Oled 2017 Ransomware - май 2017

Переход на другую разработку с тем же email и частью текста о выкупе. 

Oled 2019 Ransomware - конец 2019

Makop Ransomware - с января 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Некоторые пострадавшие сообщили, что файлы можно восстановить, 
убрав расширение .oled . Возможно, что это кому-то поможет. 
Но не факт, что это будет работать на всех компьютерах. 

 Read to links: 
 myMessage + myMessage
 ID Ransomware (ID as Oled)
 Write-up, Topic
 * 

 Thanks: 
 mmachado (victim in support topic), quietman7
 Andrew Ivanov (article author)
 al1963, 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.