Blind

Blind Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. Видео-обзор Blind Ransomware см. по ссылке. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Blind > Blind-2 (Blind-Napoleon)

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].blind 

На данный момент это: .[blind@cock.li].blind
Пример зашифрованного файла: my_document.[blind@cock.li].blind

В новых версиях использовались другие расширения. Смотрите блок ниже.  

---

Blind Family (семейство Blind):
Blind Original + updates: .blind, .kill, .leon
Blind-2 (Blind-Napoleon): .napoleon, .skeleton, .blind2

---

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_Decrypt_Files.hta

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail blind@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
 Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Your personal identification number: 
3D1841ED0059EFAD0392443421FF6*****

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email blind@cock.li
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
  Также вы можете найти другие места, где можно купить Биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Ваш личный идентификационный номер:
3D1841ED0059EFAD0392443421FF6*****

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Идентификатор жертвы добавляется к зашифрованному файлу.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_Decrypt_Files.hta
<random>.exe
netcache64.sys - файл, необходимый для дешифрования файлов

🔓 Для успешной дешифровки найдите и сохраните файл netcache64.sys

Расположения:
%APPDATA%\netcache64.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blind@cock.li
См. ниже результаты анализов.

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2017:
Расширение: .kill
Составное расширение: .[kill@rape.lol].kill
Email: kill@rape.lol
Записка: How_Decrypt_Files.hta
Тема поддержки >>
<< Скриншот записки
Результаты анализов: VT


Обновление от 2 декабря 2017:
Пост в Твиттере >>
См. мою статью Blind 2 (Blind-Napoleon)
Расширение: .napoleon
Составное расширение: .[supp01@airmail.cc].napoleon
Записка: How_Decrypt_Files.hta
Email: supp01@airmail.cc и supportdecrypt2@cock.li
<< Скриншот записки
Результаты анализов: VT



Обновление от 13 декабря 2017:
См. мою статью Blind 2 (Blind-Napoleon) - блок обновлений внизу
Расширение: .skeleton
Составное расширение: .[skeleton@rape.lol].skeleton
Записка: How_Decrypt_Files.txt
Email: skeleton@rape.lol
Файлы: skeleton.exe
Результаты анализов: VT

Обновление от 4 января 2018: 
Расширение: .leon
Составное расширение: .[atilla666@tutanota.com].leon
Шаблон расширения: .[<email>].leon
Записка: How_Decrypt_Files.hta
Email: atilla666@tutanota.com
Результаты анализов: VT
Скриншоты записки >>

***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
Специалисты Dr.Web могут дешифровать файлы с расширениями .blind и .kill
Сообщите нам о результатах. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blind)
 Write-up, Topic of Support
 🎥 Video review 

 Thanks: 
 Michael Gillespie
 GrujaRS
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Bud

Bud Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 евро в # BTC, чтобы вернуть файлы. Оригинальное название: RegisterCGS. На файле написано: Corel Activation Service и armscv.exe. Фальш-копирайт: Corel Corporation.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bud 

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Выдаёт себя за легитимную программу от Corel Corporation. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your important files are encrypted!
If you see this text, then your files are no longer accessible,because they have been encrypted
Perhaps you are busy looking for a way to recover your files
Nobody can recover your files without our decryption key
We guarantee that you can recover your files safely and easily
All you need to do is to submit the payment to the BTC address down below
After the payment is sent, click the check -(payment button) and you get your files back ***
Dont try to close me or to restart the computer
The fun starts now, every hour more files will get lost forever, so hurry up!
---
More files get lost every hour!
[View encrypted files]
Send 500€ to the bitcoin adress:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[I want my files back, check if payment was made!]

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы!
Если вы видите этот текст, то ваши файлы не доступны, потому что они были зашифрованы
Возможно, вы ищете способ восстановления файлов
Никто не сможет восстановить ваши файлы без нашего ключа дешифрования
Мы гарантируем, что вы сможете безопасно и безопасно восстанавливать файлы
Все, что вам нужно сделать, это отправить платеж на адрес BTC ниже
После отправки платежа нажмите кнопку проверки (payment button), и вы получите файлы назад
Не пытайтесь закрыть меня или перезагрузить компьютер.
Чтобы было весело, ежечасно часть файлов будут уничтожаться, поэтому поторопитесь!
---
Больше файлов уничтожатся каждый час!
Просмотр зашифрованных файлов.
Отправьте 500 евро на адрес биткойна:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[Я хочу вернуть свои файлы, проверьте сделанную оплату!]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RegisterCGS.exe
<random>.exe

Расположения: 
%APPDATA%\Corel\RegisterCGS.exe
%LOCALAPPDATA%\Corel\CorelCGS.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bud)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kryptonite RBY

Kryptonite RBY Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: Kryptonite.exe и Copyright RBY.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение с надписями на русском и английском.

Содержание записки о выкупе:
ВНИМАНИЕ!
В этой фотографии скрывается флаг.

ATTENTION!
All the files on your disk were encrypted.



Translation of the first phrase into English:
ATTENTION!
In this photo the flag is hidden.

Перевод второй фразы на русский язык:
ВНИМАНИЕ!
Все файлы на вашем диске были зашифрованы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kryptonite.exe
<image>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mystic

Mystic Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1.01 BTC, чтобы вернуть файлы. Оригинальное название: Mystic. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. Маркер файлов не используется. 

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.txt

Содержание записки о выкупе:
Your computer has been hacked and your files have been locked.
You have 5 days left to recover your files so quickly follow recovery process below.
Recovery Process in 3 easy steps (Automated System. No human intervention. Works 24/365):
1) Buy 1.01 BitCoin Approx 280$. (Easiest buying option is www.localbitcoins.com) and goto the following website:
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Send payment of 1.01 Bitcoin to the address in the website given above.
3) In approx 15 minutes after making the payment to the bitcoin address, Go back to the above website. If payment is successful then you will receive unlock instructions.
Don't delete or modify this ransom file till recovery of files as no recovery is possible without this file. This file is on your desktop for future use.
 List of files which have been locked are given below.
-- MYSTIC

Перевод записки на русский язык:
Ваш компьютер взломан, а ваши файлы заблокированы.
У вас осталось 5 дней для восстановления файлов, следуйте за быстрым процессом восстановления ниже.
Процесс восстановления в 3 простых шага (автоматическая система без вмешательства человека. Работает 24/365):
1) Купить 1.01 BitCoin около 280$. (Самый простой вариант покупки - www.localbitcoins.com) и перейти на следующий веб-сайт:
хххх://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Отправить платеж в размере 1.01 биткойн на адрес указанного выше веб-сайта.
3) Примерно через 15 минут после внесения платежа в биткоин-адрес вернитесь к вышеуказанному веб-сайту. Если платеж будет успешным, вы получите инструкции по разблокировке.
Не удаляйте и не изменяйте этот файл выкупа до восстановления файлов, т.к. без этого файла восстановление невозможно. Этот файл находится на вашем рабочем столе для будущего использования.
  Список блокированных файлов приведен ниже.
-- MYSTIC

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.txt - содержит список зашифрованных файлов на компьютере жертвы

Расположения:
\Desktop\ransom.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adtracker.tk***
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mystic)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RestoLocker

RestoLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: restolocker. На файле написано: restolocker.exe и WpfApplication1. Разработчик: Phantom.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> RestoLocker

К зашифрованным файлам добавляется расширение .HeroesOftheStorm

Изображение относится к игре

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: What is it?.txt

Содержание записки о выкупе:
Hi. I encrypted your personal files. 
Heroes Of The Storm is the god game. But, people don't know that.
So, I made this program that make people to play Heroes Of The Storm.
To dectrypt your files, follow this procedure. First, You have to install Heroes Of The Storm. Second, Play Heroes Of The Storm 24hours. (Only Play Time Will Be Recorded)
NOW, Let's play the King God Emperor General Chungmoogong Majesty Game HEROES OF THE STORM
*Warning* Do NOT KILL This Program and Computer.


Имеется надпись:
Play Heroes Of The Storm and decrypt your files

Перевод на русский: 

Играй в "Герои Шторма" и расшифруешь свои файлы


Перевод записки на русский язык:
Привет. Я зашифровал твои личные файлы.
"Герои Шторма" - божественная игра. Но люди этого не знают.
Итак, я сделал эту программу, которая заставит людей играть в "Герои Шторма".
Чтобы дешифровать твои файлы, выполни следующую процедуру. Во-первых, тебе нужно установить Heroes Of The Storm. Во-вторых, играй в Heroes Of The Storm 24 часа. (Будет записано только время игры)
ТЕПЕРЬ, Давай сыграем в Короля-Бога-Императора-Генерала-Чунгмуганга-Величество-Игру "ГЕРОИ ШТОРМА"
* Предупреждение * НЕ ВЫРУБАЙТЕ эту программу и компьютер.


Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста с экрана:
Play Heroes Of The Storm!
Your personal files are encrypted
The King God Game Ever

Перевод на русский:
Играй в "Герои Шторма"
Твои личные файлы зашифрованы
Это Король-Бог-Игра

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Воспроизводит звуковой файл hiosu.wav из ресурсов WpfApplication1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restolocker.exe
What is it?.txt
\hiosu.wav
\test\

Расположения:
\Desktop\test\What is it?.txt
User_name\Documents\Visual Studio 2013\Projects\WpfApplication1\WpfApplication1\Resources\hiosu.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://172.30.1.28/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 марта 2018:
Пост в Твиттере >>
Выглядит как ранний образец.
Результаты анализов: VB + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blackhat

Blackhat Ransomware

Blackhat H.F.D Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Blackhat. На файле написано: MoWare H.F.D и Blackbat. Основан на MoWare H.F.D Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D > Blackhat H.F.D

К зашифрованным файлам добавляется расширение .H_F_D_locked

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of Blackhat will not restore access to your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your files
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 200 dollar to address: to 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at blackhatdarkmatrix@gmail.com
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление Blackhat не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? понимание проблемы
Как я могу вернуть свои файлы? только способ восстановить ваши файлы
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоин (https://blockchain.info)
2. Отправить сумму в 200 долларов США на адрес: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на blackhatdarkmatrix@gmail.com.
Нажмите здесь, чтобы восстановить и вернуть ваши файлы

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Пока шифрует только тестовую папку на рабочем столе и извлекает ключ XOR из локальный веб-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Blackbat.exe
\test\

Расположения:
\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackhatdarkmatrix@gmail.com
BTC: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.