LockOn

LockOn Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockOn и Product Lockon Ransomware. На файле написано: Lockon Ransomware.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear? >> LockOn

Изображение из ресурсов LockOn

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке, т.к. шифрует файлы только в тестовой папке на Рабочем столе. Разработчик, судя по некоторым элементам экрана блокировки, может быть из Франции. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
The whole of your computer has just been encrypted by LockOn to unlock your computer and retrieve your file please pay the ransom to the address bitcoin!
Here are the steps:
1 - Go to: https://www.localbitcoins.com
2 - Create an account
3 - Collect the sum stipulated below in bitcoins
4 - Sent to the address bitcoins 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
5 - You will receive a key that will unlock your computer!
Any attempt to reverse the ransomware or other will result in a destruction of the computer!

Перевод текста на русский язык:
Весь компьютер был зашифрован LockOn, чтобы разблокировать компьютер и получить ваш файл, пожалуйста, заплатите выкуп на биткоин-адрес!
Вот шаги:
1 - Перейдите по ссылке: https://www.localbitcoins.com
2 - Создайте учетную запись
3 - Соберите сумму, указанную ниже в биткоинах
4 - Отправьте на биткоин-адрес 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
5 - Вы получите ключ, который разблокирует ваш компьютер!
Любая попытка отменить выкуп или другое приведёт к повреждению компьютера!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Lockon Ransomware.exe
[HOT][+18] CHECKER PORN.exe
\test\

Расположения:
C:\Users\Exploits\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1EhHaeQ5x8Q4wF62QwqRUfoFrbYo2PLR7c
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCWare-PayDay

BTCWare-PayDay Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле может быть написано, что угодно.

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-PayDay

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>]-id-<id>.payday

В <id> может быть 3 или 4 знака (английские буквы и цифры).
Сначала даже была цифра 0. 

Сейчас с почтой keyforyou@tuta.io используется шаблон 
.[keyforyou@tuta.io]-id-<id>.payday
.[keyforyou@tuta.io]-id-0.payday

Шаблон в коде записан как: %s.[%s]-id-%X.payday

Активность этого крипто-вымогателя пришлась на начало октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !! RETURN FILES !!.txt

Содержание записки о выкупе:
all your files have been encrypted
want return files?  
write on email: keyforyou@tuta.io

Перевод записки на русский язык:
все ваши файлы зашифрованы
хотите вернуть файлы?
напишите по email: keyforyou@tuta.io

Также информатором жертвы выступает файл payday.hta
У кого он есть, присылайте скриншот!!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
 cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
 vssadmin.exe Delete Shadows /All /Quiet
 cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} recoveryenabled No
 cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!! RETURN FILES !!.txt
payday.hta
<random>.exe
svhost.exe

Расположения:
\%APPDATA%\<random>.exe
\AppData\Roaming\payday.hta
\%APPDATA%\!! RETURN FILES !!.txt
%USERPROFILE%\Desktop\!! RETURN FILES !!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 октября 2017:

Расширение: .payday

Составное расширение: .[<email>]-id-<id>.payday

Пример расширения: .[aversia@tuta.io]-id-0.payday
Email: aversia@tuta.io
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta

Обновление от 9 октября 2017:
Пример расширения: .[payday@cryptmaster.info]-id-1CE0.payday
Email-1: payday@cryptmaster.info (блокирован)
Email-2: payday@cock.lu (новый)
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta

Обновление от 11 октября 2017:

Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Пример расширения: .[Checkzip@india.com]-id-CE4.payday
Email-1: Checkzip@india.com и payday@cryptmaster.info
Email-2: payday@cryptmaster.info (блокирован)
Email-3: payday@cock.lu (новый)
Записки: !! RETURN FILES !!.txt и payday.hta
Размещение: C:\!! RETURN FILES !!.txt
\AppData\Roaming\payday.hta
Результаты анализов: HA + keys + VT 
Скриншоты записок:
payday.hta - оригинал
!! RETURN FILES !!.txt - реконструкция



Другие обновления октября 2017:
Email: lockers@tutamail.com + car1333as@gmail.com
Email: helper05@cock.li

Обновление от 3 ноября 2017: 
Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Пример расширения: .[chukabra@tuta.io]-id-1E90.payday
Email: chukabra@tuta.io
Записка: !! RETURN FILES !!.txt
Содержание записки: 
all your files have been encrypted 
want return files?  
write on email: chukabra@tuta.io


Обновление от 13 ноября 2017:
Расширение: .payday
Составное расширение: .[<email>]-id-<id>.payday
Записка: !! RETURN FILES !!.txt
Email: gh0stcrypt@tuta.io и whitedevil@tutanota.de
Результаты анализов: VT + VT 



Обновление от 28 ноября 2017:
Пост в Твиттере >>
Условное название: BTCWare-Shadow
Расширение: .shadow
Составное расширение: .[<email>]-id-<id>.shadow
Шаблон из кода: %s.[%s]-id-%X.shadow
Примеры расширений: .[paydayzgcock.li]-id-11DC.shadow
.[paydayz@cock.li]-id-B2C.shadow
Записки: !! RETURN FILES !!.txt и payday.hta
<< Скриншот записки
Расположение: "%APPDATA%\payday.hta"
Email: paydayz@cock.li, kekin@cock.li
Файлы: payload.exe
Результаты анализов: HA + VT + VT


Обновление от 5 декабря 2017:
Пост в Твиттере >>
Условное название: BTCWare-Shadow
Расширение: .wallet (на основе .shadow)
Составное расширение: .[<email>]-id-<id>.wallet
Шаблон расширения из кода: %s.[%s]-id-%X.wallet
Пример расширения: .[arkana@tuta.io]-id-A4.wallet
Записка: ! FILES ENCRYPTED.txt
<< Скриншот записки
Email: arkana@tuta.io
Результаты анализов: VT



Обновление от 7 декабря 2017:
Пост в Твиттере >>
Расширение:  .wallet 
Составное расширение: .[shadowzone@cock.li or shadowzone@india.com]-id-300.wallet
Шаблон расширения из кода: %s.[%s]-id-%X.wallet
Записка: ! How Decrypt Files.txt
<< Скриншот записки
Email: shadowzone@cock.li и shadowzone@india.com
Файл: payload.exe
Результаты анализов: VT

Обновление от 14 декабря: 
Расширение: .shadow
Шаблон расширения из кода: %s.[%s]-id-%X.shadow
Записка: !! RETURN FILES !!.txt
Email: paydayz@cock.li
Файл: <random>.exe
Результаты анализов: VT

Обновление от 16 декабря: 
Расширение: .wallet
Шаблон расширения: .[isso32@tutanota.com]-id-<id>.wallet
Email: isso32@tutanota.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 21 декабря: 
Расширение: .wallet
Шаблон расширения: .[slaker@india.com]-id-<id>.wallet
Email: slaker@india.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 21 декабря 2017:
Расширение: .wallet
Составное расширение: .[cryptomafia@tuta.io]-id-DF8.wallet
Файл: cryptomafia@tuta.io.exe
Записки: ! How Decrypt Files.txt и payday.hta 

Обновление от 27 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[decrypt@btcdecrypt.top]-id-<id>.wallet
Email: decrypt@btcdecrypt.top
Файл: <random>.exe
Результаты анализов: VT

Обновление от 27 декабря 2017:
Расширение:  .payday
Шаблон расширения: .[ap0calypse@india.com]-id-<id>.payday
Email: ap0calypse@india.com
Файл: <random>.exe
Результаты анализов: VT

Обновление от 27 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[erwind@tuta.io or oddy@tuta.io]-id-<id>.wallet
Email: erwind@tuta.io и oddy@tuta.io
Файл: <random>.exe
Результаты анализов: VT

Обновление от 28 декабря 2017:
Расширение:  .wallet 
Шаблон расширения: .[payday@rape.lol]-id-<id>.wallet
Email: payday@rape.lol
Файл: machine.exe
Результаты анализов: VT


Обновление от 18 января 2018: 
Расширение: .wallet
Составное расширение: .[unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch]-id-42C4.wallet
Email: unlocksupp@airmail.cc
BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch
Записки: ! FILES ENCRYPTED.txt и payday.hta
Пост на форуме BC >>
Тема на форуме KasperskyClub >>



Обновление от 7 февраля 2017:
Расширение:  .wallet 
Шаблон расширения: .[decrypt@btcdecrypt.top.lol]-id-<id>.wallet
Пример расширения: .[decrypt@btcdecrypt.top]-id-4AEC.wallet
Email: decrypt@btcdecrypt.top

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare PayDay)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

CypherPy

CypherPy Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем сообщает, чтобы вернуть файлы не удастся, потому что Cypher ещё находится в разработке. Оригинальное название: Cypher Ransomware. На файле написано: cyphermain.py. Написан на Python. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CypherPy

К зашифрованным файлам добавляется расширение .crypt

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Работает в Linux и Windows

Записка с требованием выкупа называется: README

Содержание записки о выкупе:
Cypher
Hello, unfortunately all your personal files have been encrypted with millitary grade encryption and will be impossible to retrieve without aquiring the encryption key and decrypting binary.
As of yet these are not available to you since the Cypher ransomware is still under construction.
We thank: you for your patience.
Have a nice day,
The Cypher Project.

Перевод записки на русский язык:
Cypher
Привет, к сожалению, все ваши личные файлы были зашифрованы с помощью шифрования военного класса, и их невозможно получить без приобретения ключа шифрования и двоичного кода дешифрования.
На данный момент они недоступны для вас, так как Cypher Ransomware ещё находится в разработке.
Благодарим за ваше терпение.
Хорошего дня,
Проект Cypher.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .asf, .asx, .avi, .bak, .bundle, .c, .cpp, .deb, .docx, .exe, .flv, .gif, .h, .html, .jar, .jpeg, .jpg, .log, .m2ts, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .pdf, .php, .png, .py, .pyc, .rar, .rm, .sh, .sq1, .sqlite3, .swf, .tar, .tar.gz, .tiff, .txt, .vob, .wmv, .zip (46 расширений).
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
cyphermain.py
README

Пароль разблокировки: 
prettyflypassword

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория от 24 августа 2017:

Расширение: .enc
Записка: readme_decrypt.txt
Сумма выкупа: 1 BTC
<< Скриншот записки



*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackMist

BlackMist Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: BlackMist. На файле написано: BlackMist.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение blackmist
Обратите внимание, что "точки" у этого расширения нет. 

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо пока находится в разработке, т.к. шифруются только файлы в специальной папке и есть сбои в работе. 

Запиской с требованием выкупа выступает экран блокировки, если его так можно назвать. 

Содержание записки о выкупе:
The Black Mist has consumed your computer, and all files contained within it. Each file has been encrypted.
To restore your computer, you must moke a Payment of 100$ Bitcoin to the address specified. You will have 48 Hours to do so. After 24 hours, each following hour will execute the deletion of a portion of your files. After
the full 48 hours, all files will have been deleted, along with your operating system.
Attemping to close this application or shutdown you computer will result in full deletion of your files.

Перевод записки на русский язык:
Black Mist употребил ваш компьютер и все файлы, содержащиеся в нем. Каждый файл был зашифрован.
Чтобы восстановить компьютер, вы должны сделать оплату 100$ в биткоинах по указанному адресу. У вас будет 48 часов для этого. Через 24 часа каждый час будут удаляться некоторые ваши файлы. После 48 часов все файлы будут удалены вместе с вашей операционной системой.
Попытки закрыть это приложение или выключить компьютер приведут к полному удалению ваших файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackMist.exe

Расположения:
C:\Users\Owner\ - шифруются только файлы в этой тестовой папке. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Onion3Cry

Onion3Cry Ransomware
Onion3Crypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп за декриптер, чтобы вернуть файлы. Оригинальное название точно не указано. В заголовке экрана блокировки написано: onion3 crypt v.3.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Onion3Cry

К зашифрованным файлам добавляется расширение .onion3cry-open-DECRYPTMYFILES

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Our credibility at stake
To decrypt your files you need to buy the special software - «Black decryptor»
You can find out the details / buy decryptor + key / ask questions by email: onion33544@india.com
How to use bitcoin xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Unable to decode data without correct decoder ID - 388854
To recover yor data.
[contact in up
12:00:00]

Перевод записки на русский язык:
ВСЕ ВАША РАБОТА И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ставка на наше доверие
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Black decryptor»
Вы можете узнать подробности / купить дешифратор + ключ / задавать вопросы по email: onion33544@india.com
Как использовать биткоин xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Невозможно декодировать данные без правильного ID декодера - 388854
Чтобы восстановить ваши данные.
[контакт в
12:00:00]

Ещё один экран имитируют загрузку обновлений. На португальском. 

Содержание текста на экране:
Obtendo atualizações
isso pode levar alguns minutos
Verificando se há atualizações.......
[Avançar]

Перевод на русский:
Получение обновлений
Это может занять несколько минут.
Проверка обновлений ...
[Далее]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<Black decryptor>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
onion33544@india.com
xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (original package) >>
VirusTotal анализ (encrypter) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.