MBR-ONI

ONI Ransomware

MBR-ONI Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель шифрует данные пользователей с помощью DiskCryptor и шифров AES-256 + RSA-2048, а затем требует связаться по email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле написано: ONI.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oni

Ранняя активность этого крипто-вымогателя пришлась на начало июля, как вариант GlobeImposter. Другой вариант, модифицирующий MBR, был описан в конце октября 2017 г. Ориентирован на японских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README!!!.html

Содержание записки о выкупе:
重要な情報!
すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。
心配しないで、すべてのファイルを元に戻すことができます。
すべてのファイルを素早く安全に復元できることを保証します。
ファイルを回復する手順については、お問い合わせ。
信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。
(ファイルサイズ10MB未満、機密情報なし)
連絡先
hyakunoonigayoru@yahoo.co.jp

Перевод записки на русский язык:
Важная информация!
Все файлы зашифрованы с помощью RSA-2048 и AES-256 шифров.
Не волнуйтесь, вы можете восстановить все файлы.
Мы гарантируем, что все файлы можно безопасно восстановить быстро и безопасно.
Для получения инструкций по восстановлению файлов свяжитесь с нами.
Чтобы доказать надежность, вы можете бесплатно расшифровать два файла. Отправьте нам файл и персональный идентификатор.
(Размер файла менее 10 МБ, без конфиденциальной информации)
Контактный адрес
hyakunoonigayoru@yahoo.co.jp


Другим информатором жертвы выступает краткий текст, выводящийся после перезаписи MBR.

Содержание текста:
Your data is ENCRYPTED!
You will not decrypt it without our help? Your id: ***
Contact us: oninoy0ru@***
PASSWORD: _

Перевод текста на русский язык:
Ваши данные ЗАШИФРОВАНЫ!
Вы не сможете расшифровывать их без нашей помощи? Ваш id: ***
Связь с нами: oninoy0ru@***
ПАРОЛЬ: _

Исследователи выяснили, что большинство компьютеров были инфицированы простой версией ONI. Вариант MBR-ONI наблюдался только на нескольких машинах. Эти машины определённо имели серверную службу Active Directory и другой набор активных серверных служб. 

У компьютеров, заражённых вариантом MBR-ONI, кроме того, отображалась одна и та же записка о выкупе с одинаковым идентификатором для всех зараженных машин. У компьютеров, заражённых вариантом ONI генерировался уникальный идентификатор для каждой машины. 

Технические детали

MBR-ONI может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

По данным исследователей заражению компьютеров предшествовала вредоносная кампания копьё-фишинга, в результате которой на компьютеры жертв устанавливались трояны, открывающие удалённый доступ или средство удалённого управления (RAT), в частности, утилита Ammyy Admin. 

Ammyy Admin загружается и запускается на выполнение скриптом (VBScript), запускающимся после включения получателем письма макросов в документе MS Word, находящимся во вложенном в письмо zip-архиве. 

✔ Для шифрования используется модифицированная версия DiskCryptor. 
✔ Для удалённого проникновения использовалась утилита Ammyy Admin. 
✔ Зачистка журналов вымогателем может свидетельствовать о том, что злоумышленники также использовали эксплойт EternalBlue в сочетании с другими инструментами для распространения по всей сети скомпрометированной компании. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
COMODO
ESET
Microsoft
Microsoft Help
Windows
Windows App Certification Kit
Windows Defender
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows NT
Windows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices

Файлы, связанные с этим Ransomware:
oni.exe (srvupd.exe) - исполняемый файл вымогателя
xcopy.exe - копия исполняемого файла
!!!README!!!.html - записка о выкупе
qfjgmfgmkj.tmp - специальный временный файл
clean.bat - файл для очистки журналов и данных о присутствии
test.bat - вспомогательный файл для копирования

Расположения:
%Temp%\qfjgmfgmkj.tmp - специальный файл, запрещающий повторную установку данного шифровальщика. 

🚩Возможно, что файл qfjgmfgmkj.tmp можно создать заранее и тем самым защититься от атаки этого шифровальщика. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hyakunoonigayoru@yahoo.co.jp
oninoy0ru@yahoo.co.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (GlobeImposter вариант) >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Cylance blog
 Cybereason blog
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XiaoBa

XiaoBa Ransomware

(шифровальщик-вымогатель, деструктор)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1200 юаней = 180,81$ в BTC, чтобы вернуть файлы. Оригинальное название: XiaoBa. На файле написано: xiaoba.exe. Написан на языке FlyStudio. 

© Генеалогия: XiaoBa > XiaoBa 2.0

К зашифрованным файлам добавляются расширения от .XiaoBa1 до .XiaoBa34

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_@XiaoBa@_.bmp
_@Explanation@_.hta

Содержание записки о выкупе:
Ooops, your important files have been encrypted!
！------ 重要加密 ------ ！
你柏所有文件已被 RSA-2048 AES-128 算法進行了加密
請硕縦破解  , 因為您無  眷破解文件可能導致文壊 這可能會損害他們
只有我們的解密辦捕解密您的文件
如果您看到這個壁紙卻看不到 “XiaoBa” 窗口 , 那麼就是您的防病毒軟件    
刪除了此解密軟件或葡恣從計算機中刪除了它
如果您需要您的文件I必須運行解密軟件
請找到解密軟件或從防病毒軟件隔雜區還原
運行解密軟件 , 並按照說明進行操作
請向指定地址發送約1200元人民幣=180.81$的比特幣
比特幣錢包：1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
想獲取更多信息請點擊桌面的 _@Explanation@_.hta
E-mail:B32588601@163.com

Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы!
！------ Важные файлы зашифрованы ------ ！
Все файлы зашифрованы с алгоритмами RSA-2048 AES-128
Попробуйте взломать, но вы не вернете файлы, это приведет к тому, что текст может быть повреждён.
Только наше дешифрование может вернуть ваши файлы. 
Если вы видите эти обои, но не видите окно "XiaoBa", то ваша антивирусная программа поместила эту программу в карантин или удалила с компьютера.
Если вам нужны файлы, то вы должны заново запустить нашу программу для дешифрования.
Найдите нашу программу для дешифрования или восстановите её из карантина антивируса.
Запустите программу дешифрования и следуйте инструкциям.
Пожалуйста, отправьте около 1200 юаней = 180,81$ в биткоинах на указанный адрес BTC-кошелька: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Для получения информации найдите на рабочем столе файл _@Explanation@_.hta
E-mail: B32588601@163.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Создает множество процессов. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, удаляет точки восстановления командой:
cmd /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

➤ Зашифрованные файлы повреждаются. Уплата выкупа бесполезна!

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_@XiaoBa@_.bmp
_@Explanation@_.hta
xiaoba.exe
AutoRunApp.vbs

Расположения:
\Desktop\_@Explanation@_.hta
C:\AutoRunApp.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://baidu.com
http://tieba.baidu.com
http://wenku.baidu.com
http://xueshu.baidu.com
http://zhidao.baidu.com и другие
Email: B32588601@163.com
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 ноября 2017:

Сумма выкупа: 250 RMB (китайские юани) = $37.696 в BTC

Email: B32588601@163.com
BTC: 1NodpehhyEnJZUE3vsGXHm8RYLfydMZkv4
Экран пользователь блокируется. 
Результаты анализов: HA+ VT

<< Скриншот с требованиями выкупа




Обновление от 18 ноября 2017:

Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Email: TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
Результаты анализов: VT

<< Скриншот с требованиями выкупа
См. статью Want Money Ransomware >>


Обновление от 24-27 февраля 2018:
Пост в Твиттере >> + Tweet
Расширение: .Encrypted[BaYuCheng@yeah.net].XiaBa
Записка: _XiaoBa_Info_.hta
Email: BaYuCheng@yeah.net
Результаты анализов: VB + VT + VT

 

Обновление от 17 апреля 2018:
➤ Теперь XiaoBa присоединяет майнер coinminer к исполняемым файлам (.exe, .com, .scr, .pif) на всём жестком диске, включая основные папки операционной системы. После этого запуск любого из заряженных таким образом исполняемых файлов запускает только coinminer, а не само приложение. Это приводит к проблемам, при которых Windows не сможет загрузиться.
➤ XiaoBa также внедряет (инжектирует) скрипт Coinhive во все файлы HTML и HTM, а также удаляет все файлы с расширениями .gho и .iso, которые часто используются в антивирусных образах Live-CD/DVD (например, Norton Ghost использует файлы с расширением .gho, а Kaspersky Rescue Disk использует .iso). 

➤ Другой вариант XiaoBa тоже инжектирован, но также содержит 32-битную и 64-битную версию майнера XMRig.
Подробности в статье от TrendMicro. 


Обновление от 5 июня 2018:
Пост в Твиттере >>
Расширение: .AdolfHitler
Email: BaYuCheng@yeah.net
Записка-изображение: # # DECRYPT MY FILE # #.bmp
Файл: New Folder.exe
Результаты анализов: VT

Обновление от 15 марта 2020:
Пост в Твиттере >>
Результаты анализов: VT + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XiaoBa)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zipper, FileCompressor

Zipper Ransomware

FileCompressor Ransomware

(zip-вымогатель, файловый компрессор) 

Translation into English

Этот крипто-вымогатель помещает данные пользователей в zip-архив под паролем, а затем требует выкуп за пароль, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К заархивированным файлам добавляется расширение .zip

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Unzip your ZIP files.txt

Содержание записки о выкупе:
Your files have been compressed!
To recover them, you need a security key.
If you're really interested in their recovery, please submit your code for reference: ******* zip
For the email: zip@email.tg
Your contact will be responded to as soon as possible, and if necessary offered a recovery guarantee.

Перевод записки на русский язык:
Ваши файлы сжаты!
Чтобы восстановить их, вам нужен ключ безопасности.
Если вы правда заинтересованы в их восстановлении, отправьте свой код для справки: ******* zip
На email: zip@email.tg
На ваш контакт ответим как можно скорее, и при необходимости дадим гарантию на восстановление.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Unzip your ZIP files.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
zip@email.tg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 июня 2018:
Email-1: zip@email.tg
Email-2: contactfileszip@email.tg
➤ Содержание записки о выкупе: 
Your files have been compressed!
To recover them, you need a security key.
If you're really interested in their recovery, please submit your code for reference: 
For the email: zip@email.tg or to our alternative email: contactfileszip@email.tg
Your contact will be responded to as soon as possible, and if necessary offered a guarantee of recovery of the files.
Топик на форуме >>

Обновление от 22 февраля 2019:
Email: contactfileszip@email.tg, contato.arquivoszip@email.tg
Записка на португальском языке: Leia-me para descompactar seus arquivos ZIP.txt

➤ Содержание записки:
Seus arquivos foram compactados!
Para recupera-los, voce precisa de uma chave de seguranca.
Caso tenha real interesse na recuperacao deles envie seu codigo para consulta: c1e43adf3943f4ffb784fb251689fb6821e13a8b5298426b26c9da5265cbd396zip
Para o email:
contactfileszip@email.tg ou contato.arquivoszip@email.tg
Seu contato sera respondido o mais rapido possivel, e se necessario oferecido garantia de recuperacao dos arquivos.
Aguardo seu contato.
➤ Сравнение предыдущих вариантов с нынешним

Обновление от 12 октября 2019: 
Название записки:  Unzip your ZIP files.txt
Email: contatoarquivoszip@private-mail.com

➤ Содержание записки:
File decompressor
Guaranteed full recovery of your files, very fast and efficient.
Simple to use and correct all errors of your file system.
Losing your files is terrible, data, photos and documents. Take along
the computer to various assistants and technicians without resolution. And still
risking losing them completely is extremely chilling.
No more wasting your time or money chasing invalid solutions,
don't let your business stop for another minute or so, get rid of the headache
and solve all this problem!
I am ready to serve you, and I have the solution for this, the decompressor is fast, I need
Granted. I can help you now, quickly and practically. And I can give you one
guarantee of its functionality.
Having interest send me an email now to contatoarquivoszip@private-mail.com
with this recovery code:
2f236208b074b6bfa407955ac4d9984b4634550214ed6b93b874035e2c77bfb3 zip
I will contact you immediately!
If you contact us and have no response within the next few hours,
check the spam box of your email, as maybe I already answered you.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Zipper)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Kerkoporta

Kerkoporta Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 с подарочных карт Paysafe или Amazon, чтобы получить ключ дешифрования. Оригинальное название: Κερκόπορτα 
(на греческом, читай: Kerkoporta). Название проекта: Kerkoporta SERVER и removerat (RemoveRAT). На файле написано: Windows Updates. Среда разработки: Visual Studio 2017. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам должно было добавляться расширение .encryptedsadly
Но в данной версии шифрование не производится. 

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на грекоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе (греческая версия):
ΩΧ ΟΧΙ
Τι έγινε?
Όλα σου τα αρχεία έχουν κρυπτογραφηθεί!
Τι να κάνεις?
Αγόρασε απο ένα περίπτερο απόδειξη paysafe αξίας 100$ και γράψε τον κωδικό εδώ
ΠΡΟΣΟΧΗ: Σε παρίπτωση λάθος κωδικού ή προσπάθειας αφάιρεσης του ιού το ποσό θα ανέβει και η ζημιά στον υπολογιστή θα γίνει μεγαλύτερη

Перевод записки на русский язык:
О, нет
Что случилось?
Все ваши файлы зашифрованы!
Что делать?
Купите подарочную карту Paysafe на $100 и напишите здесь его PIN-код.
ПРЕДУПРЕЖДЕНИЕ. В случае ошибочного ввода кода или попытки очистить вирус сумма возрастёт, а вред компьютеру будет больше.

Содержание записки о выкупе (английская версия):
OH NO
What happened ?
All your personal files have been encrypted!
What to do ?
Buy an amazon gift card of 100$ type the code below and you will get your dectryption key on your email
WARNING: Any false credentials or attempts to remove the ransomware will result in further damage

Перевод записки на русский язык:
О НЕТ
Что случилось?
Все ваши личные файлы были зашифрованы!
Что делать?
Купите подарочную карту Amazon в размере 100$, введите код ниже, и вы получите свой ключ дешифрования на ваш email.
ПРЕДУПРЕЖДЕНИЕ: Любые ошибки ввода кода или попытки удалить вымогателя приведут к большему повреждению.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функционал RAT и блокировщика.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Updates.exe
Windows Updates.lnk
UpData.bat
Updates.data
<random>.exe

Расположения:
%APPDATA%\Microsoft\Windows\Windows Update Protocol\UpData.bat
%APPDATA%\Microsoft\Windows\Windows Update Protocol\Updates.data
%APPDATA%\Microsoft\Windows\Windows Update Protocol\<random>.exe
%USERPROFILE%\Start Menu\Programs\Startup\Windows Updates.lnk

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
executecommand.ddns.net (Греция)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kerkoporta)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie 
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gendarmerie

Gendarmerie Ransomware

GendarmerieCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 100 евро с купонов Neosurf, чтобы вернуть файлы. Оригинальное название: Gendarmerie. Название проекта: gendarmerie_crypter. На файле написано: ma_video.exe. 

© Генеалогия: HiddenTear >> DarkKomet, Gendarmerie > WhoLocker

К зашифрованным файлам добавляется расширение .hacking

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Message_Important.txt

Содержание записки о выкупе:
instruction à faire pour récupérer la clé de décryptage de vos fichiers crypter
email de contact : fbi-cybercrimedivision@hotmail.com
1) acheter des coupons neosurf de 100€ ,euros .
2) vous pouvez acheter les coupons neosurf ici https://www.recharge.fr/carte-neosurf
3) vous pouvez aussi acheter les coupons neosurf ici https://www.neosurf.com/fr_FR ou dans les bureaux de tabac
4) dès que je reçois les coupons neosurf ,je vous envoie la clé de décryptage par email.
Contact Email : fbi-cybercrimedivision@hotmail.com

Перевод записки на русский язык:
инструкции по восстановлению ключа дешифрования файлов 
контактный email-адрес: fbi-cybercrimedivision@hotmail.com
1) купите купоны Neosurf на 100 евро.
2) вы можете купить купоны Neosurf здесь https://www.recharge.fr/neosurf-card
3) вы также можете купить купоны Neosurf здесь https://www.neosurf.com/en_US или в табачных магазинах
4) Как только я получу купоны Neosurf, я пошлю вам ключ дешифрования по email.
контактный email-адрес: fbi-cybercrimedivision@hotmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message_Important.txt
<random>.exe

Расположения:
\Desktop\Message_Important.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fbi-cybercrimedivision@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 декабря 2017:
Пост в Твиттере >>
Расширение: .hacking
Записка: Message_Important.txt
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
Файлы: BelleVido.exe
На файле написано: Gendarmerie B.V.3 и BelleVidéo.exe
Результаты анализов: VT + IA

Обновление от 23 октября 2020:

Пост в Твиттере >>

Расширение: .AnoymouS

Записка: Message_Important.txt

Email: fbi-cybercrimedivision@hotmail.com

BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi

C:\Users\User\Desktop\CryptSky-master\ransomware-fud_2018-master\Gendarmerie B.V.3\obj\Debug\GTA V Setup.pdb

Файлы: GTA V Setup.exe

На файле написано:  Gendarmerie B.V.3 и GTA V Setup.exe

Результаты анализов: VT + IA

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri‏, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private