Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 ноября 2017 г.

SAD

SAD Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: SAD Ransomware. На файле написано: tGVkDTIb.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение, взятое из персонального ID жертвы, которое можно записать как .<personal_ID> или .<hex_ID>

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
_HELPME_DECRYPT_.txt - текстовый файл
_HELPME_DECRYPT_.html - HTML-файл (веб-страницf)
_HELPME_DECRYPT_.hta - HTA-файл (веб-приложение)
_HELPME_DECRYPT_.bmp - файл изображения для обоев


Содержание TXT-записки о выкупе:
 --  ALL YOUR FILES HAVE BEEN ENCRYPTED  -- 
All of your data(photo, documents, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
It means that you will not be able to accsess your files anymore until they´re decrypted.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The only one way to decrypt your files is to receive the private key and decryption program.
Dont waste your time. No one will be able to recover tem without our decryption service.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don´t know how to get Bitcoins, you can google: 'How to Buy Bitcoins' and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
If you dont know how to create a wallet go to http://blockchain.info/wallet and create a bitcoin wallet.
Need more information about Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
More information about the AES encryption can be found here:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
If you have any questions, write us: decrypt_sad@protonmail.com
YOUR PERSONAL IDENTIFICATION: 
51C51342BC305F401E014AAF44A***

Перевод TXT-записки о выкупе:
- ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ -
Все ваши данные (фото, документы, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Это значит, что вы больше не имеет доступ к своим файлам, пока они не будут расшифрованы.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Не тратьте свое время. Никто не сможет восстановить систему без нашей службы расшифровки.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Если вы не знаете, как создать кошелек, перейдите по адресу xxxx://blockchain.info/wallet и создайте биткоин-кошелек.
Вам нужна дополнительная информация о Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
Подробную информацию о AES-шифровании можно найти здесь:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Если у вас есть вопросы, напишите нам: decrypt_sad@protonmail.com
ВАША ПЕРСОНАЛЬНАЯ ИДЕНТИФИКАЦИЯ:
51C51342BC305F401E014AAF44A***


Содержание текста с обоев:
!!! IMPORTANT INFORMATION !!!
SAD RANSOMWARE
YOUR FILES HAVE BEEN ENCRYPTED
More information about Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
More details can be found in _HELPME_DECRYPT_.txt file
wich you can find on your desktop.
Your Personal ID:
E7A96F1D735F84C7CE636EF0E1C442***

Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
SAD RANSOMWARE
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Информация о биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Подробности можно найти в файле _HELPME_DECRYPT_.txt
который можете найти на рабочем столе.
Ваш Персональный ID: 
E7A96F1D735F84C7CE636EF0E1C442***

Содержание HTML-записки о выкупе:
SAD RANSOMWARE 
YOUR FILES ARE ENCRYPTED! 
If you want to restore your files, you need to buy the decrypter!
If you want to buy the decrypter, click the button below
[Yes, I want to buy] -> URL: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Если хотите вернуть свои файлы, вам нужно купить декриптер!
Если хотите купить декриптер, кликните на кнопку
[Да, я хочу купить] -> ссылка: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch


Содержание HTA-записки о выкупе:
SAD RANSOMWARE Instructions
SAD RANSOMWARE 
Instructions
All of your files(documents, photos, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don't know how to get Bitcoins, you can google: "How to Buy Bitcoins" and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins.
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE инструкции
SAD RANSOMWARE 
инструкции
Все ваши файлы (документы, фото, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина.
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

📢 Зашифровав файлы, SAD Ransomware проигрывает короткий звуковой сигнал. 

Список файловых расширений, подвергающихся шифрованию:
...  .cer, .DEU, .der, .jpg, .jepg, .gif, .htm, .html, .ini, .manifest, .pak, .pdf, .sig, .TXT, .txt, .url, ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Liesmich.htm.<personal_ID>
ReadMe.htm.<personal_ID>
_HELPME_DECRYPT_.txt

_HELPME_DECRYPT_.html
_HELPME_DECRYPT_.hta
_HELPME_DECRYPT_.bmp
tGVkDTIb.exe
picture.exe
<random>.exe

Расположения:
\Desktop\_HELPME_DECRYPT_.txt
\Desktop\_HELPME_DECRYPT_.html
\Desktop\_HELPME_DECRYPT_.hta
\Desktop\_HELPME_DECRYPT_.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Email: decrypt_sad@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SAD)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 2 ноября 2017 г.

Skull HT

Skull HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.00156 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: The Art of Amazon Carding, Tool By NamscoPRO и This is a HQ Professionally Designed Tool
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Skull HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
Your computer has been LOCKED
Your personal files have been encrypted. 
Send Exactly 0.00156 BTC to Wallet ID 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B 
Then Email Us at novicehax890@gmail.com to Let Us know. 
You will need to state Your wallet ID to confirm Payment, After that We will supply You with the Decryption Key And tool.
With love... Hidden Tear Project :')

Перевод записки на русский язык:
Ваш компьютер заблокирован
Ваши личные файлы были зашифрованы.
Отправьте точно 0,00156 BTC на кошелек ID 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B
Потом дайте Нам знать на email novicehax890@gmail.com.
Вам нужно указать Ваш ID кошелька для подтверждения платежа, после чего Мы поставим Вам ключ дешифрования и инструмент.
С любовью ... Hidden Tear проект : ')

Есть также сообщение на изображении для обоев Рабочего стола. Картинка заимствована из старой темы "Windows XP Hacker Theme". 
Skull HT Ransomware

Содержание текста на изображении:
Your Computer has been infected by the Hidden-Tear.
One of the Most powerful Ransomwares Around.
Do NOT panic. Read the READ_ME.txt File on Your Desktop 
And follow Instructions to restore Your Computers Files.

Перевод текста на русский язык:
Ваш компьютер был заражен Hidden-Tear.
Один из самых мощных вымогателей вокруг.
Без паники. Прочтите файл READ_ME.txt на рабочем столе.
Следуйте инструкциям по восстановлению файлов компьютеров.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
The Art of Amazon Carding.pdf.exe
READ_ME.txt

Расположения:
\Desktop\READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: novicehax890@gmail.com
BTC: 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 1 ноября 2017 г.

Different Jigsaw

Jigsaw 2018-2021 Ransomware

Different Jigsaw-based Ransomware

Different modified Jigsaw Ransomware

Different faked Jigsaw Ransomware

Сборник разных вариантов Jigsaw за 2017-2021 годы

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов AES и RSA, а затем требует выкуп в долларах, BTC или в другой валюте, чтобы вернуть файлы. Оригинальное название: Jigsaw, Jigsaw Locker, JigsawRansomware, Blackmailer и другие. Распространяется разными группами вымогателей с апреля 2016 года по всему миру. Множество предыдущих вариантов можно увидеть в конце статьи. 

Файлы, зашифрованные некоторыми описанными здесь вариантами могут быть расшифрованы с помощью Decryptor for Jigsaw. Если нужна помощь, обращайтесь к Майклу Джиллеспи

Мы ничего не знаем о вымогателях и распространителях, и не собираем их личную информацию. Множество собранных вариантов можно увидеть здесь по годам. 

В данной статье будут очень кратко описаны различные варианты, для которых я не сделал отдельных статей, потому что получил очень мало информации или не располагал свободным временем. Статья сформирована из разных сообщений в ноябре 2021 года. 

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.1
ALYac -> Trojan.Ransom.Jigsaw
BitDefender -> Generic.MSIL.Ransomware.Jigsaw.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Jigsaw.B
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Jigsaw.Generic
Microsoft -> Ransom:MSIL/JigsawLocker.A
Rising -> ***
Symantec -> Ransom.Jigsaw
Tencent -> Win32.Trojan.Generic.Hufs
TrendMicro -> Ransom.MSIL.JIGSAW.SM
---

© Генеалогия: Jigsaw >> Jigsaw измененные, фейки
© Genealogy: Jigsaw >> Jigsaw modified, faked

Активность этого крипто-вымогателя началась в апреле 2016 года и продолжалась в последующие годы. Ориентирован, в основном, на англоязычных пользователей, но может распространяться по всему. 

Чаще всего вымогателями применяются варианты, ориентированные на англоязычных пользователей. Они могут распространяться в какой-то отдельно взятой стране или по всему миру.

Записка с требованием выкупа обычно написана на экране блокировки, текст может быть на разных языках, но чаще всего на английском языке. 

***

Содержание записки о выкупе:
*** can be anything ***

Перевод записки на русский язык:
*** может быть любым ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
firefox.exe - копия исполняемого файла; 
drpbx.exe - копия исполняемого файла. 

Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe 
C:\Users\User\AppData\Local\Drpbx\drpbx.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: разные в каждом случае
BTC: разные в каждом случае
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ВАРИАНТОВ === BLOCK OF VARIANTS ===

=== 2017 ===

Вариант от 4 ноября:
Сообщение >>
Расширение: .####CONTACT_US_pablukl0cker638yzhgr@2tor.com####
Email: pablukl0cker638yzhgr@.2tor.com
BTC: 1PWRLD5HkW3U1fqDc5bqvwAbZe3VbnHXgV
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT

Вариант от 11 ноября:
Сообщение >>
Расширение .##ENCRYPTED_BY_pablukl0cker##
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT


=== 2018 ===

Вариант от 8 января:
Сообщение >>
Расширение: .FUCKMEDADDY
Файл: BIG DADDY COCK.exe
Описание: BIGDICKDADDDYPORN
Результаты анализов: VT

Вариант от 9 января:
Сообщение >>
Расширение: .CryptWalker
Файл: BitcoinBlackMailer.exe
Описание: Firefox
Результаты анализов: VT

Вариант от 19 января:
Сообщение >>
Расширение: .LOCKED_BY_pablukl0cker
Самоназвание: MADA RANSOMWARE
Email: rakolo23@gmail.com
Результаты анализов: VT
➤ Содержание текста о выкупе:
OOPS! YOUR FILES ARE CRYPTED BY MADA RANSOMWARE!!!
Your documents, photos, videos etc .
And after 72 hours, all your files will be removed premanently !!!
But there is nothing to worry about :) it will only happen when you fly in a fuck
Every hour I delete one randomly selected file and delete it premanently!!!
I can not recover such a file anymore, even after making the payment!!!
You will lose only a few files for the first 24 hours.
but the next day a few hundred, the third day, a few thousand, etc ...
If you turn off your computer or try to shut me down, I will fire again.
I automatically remove 1000 files permanently for trying to recommend me in a fuck!!!
Remember that even the best anti-virus is unable to recover encrypted files!
If you have any questions, please contact us via e-mail rakolo23@gmail.com!!!
Payment for decrypting files is only possible in BITCOIN!!!
If you do not know how to buy bitcoins, visit www.4coin.pl!!!
Now make a choice !!! pay and recover your files, or say goodbye to your files forever!!!


Вариант от 5 февраля:
Сообщение >>
Расширение: .#
Файл: Setup_install.exe
Результаты анализов: VT

Вариант от 6 февраля:
Сообщение >>
Расширение: .justice
Файл: Genel Maliyetler.exe
Результаты анализов: VT

Вариант от 13 февраля:
Сообщение >>
Ориентация: корейские пользователи
Расширение: .locked
Email: fbgwls245@naver.com
Файлы: Chrome32.exe, firefox.exe
Результаты анализов: VT + HA
 Список целевых расширений: .3g2, .3gp, .7zip, .aep, .aepx, .aet, .ai, .aif, .as.txt, .as3, .asf, .asp, .asx, .avi, .backup, .bmp.3dm, .class, .cpp, .cs, .csv, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dxf.c, .efx, .eps, .fla, .flv, .gif, .h, .html, .hwp, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js.aaf, .m3u, .m3u8, .m4u, .max.accdb, .mdb, .mid, .mkv.dat, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .raw, .rb, .rtf, .sdf, .ses.rar, .sldm.wav, .sldx, .sql.dwg, .svg, .swf, .tif, .vcf, .vob, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (120 расширений).

Вариант от 1 марта:
Сообщение >>
Расширение: .contact-me-here-for-the-key-admin@adsoleware.com
Результаты анализов: VT
Статус: Дешифруется! Дешифровщик обновлён!

Вариант от 4 марта:
Сообщение >>
Расширение: .Bitconnect
Результаты анализов: VT

Вариант от 6 марта:
Сообщение >>
Расширение: .jes
Файл: GetFacebookPasswordV2.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 14 марта:
Сообщение >>
Расширение: .email-[powerhacker03@hotmail.com].koreaGame
Цель: Корея. 
Email: powerhacker03@hotmail.com
Результаты анализов: VT

Вариант от 22 марта:
Фальш-имя: Firefox
Файл: BitcoinBlackmailer.exe
Результаты анализов: VT

Вариант от 26 марта:
Расширение: .fun
BTC: 3D1cnwtAr3zetyzuDA61HkSjeMg2W1418F
Название проекта: JigsawRansomware.pdb
Файл: tool pour lobby.exe
Результаты анализов: VT

Вариант от 28 марта:
Название проекта: BitcoinStealer.pdb
Файл: BitcoinStealer.exe
Результаты анализов: VT + VT

Вариант от 3 апреля:
Расширение: .onion
Результаты анализов: VT

Вариант от 3 апреля:
Расширение: .fun
Результаты анализов: VT

Вариант от 6 апреля:
Расширение: .LolSec
Результаты анализов: VT

Вариант от 17 апреля:
Самоназвание: Apophis Ransomware 
🎥 Видеообзор от GrujaRS >>
Расширение: .fun
Сумма выкупа: $500
BTC: 1Hd3tU8MDmuVotMgGJTJ7svzvPey6bfUgm
Файлы: ApophisRansomware.exe, apibooter.exe, drpbx.exe, _ReadMe_.txt 
Результаты анализов: HA + VT + VT + AR + VB


 
 Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений). 

Вариант от 17 мая:
Сообщение >>
Расширение: .booknish
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Целевые типы файлов: .bmp, .dat, .db, .doc, .gif, .h, .jpg, .ppt, .py, .swf, .txt, .wav, .xls, .xml, .zip
Результаты анализов: VT



Вариант от 3 июля:
Сообщение >>
Самоназвание: choda ransom (초다 랜섬웨어)
Расширение: .choda
Цель: Корея
Файл: 초다 랜섬웨어.exe
Результаты анализов: VT

Вариант от 5 июля:
Сообщение >>
Расширение: .coder007@protonmail.com
Email: coder007@protonmail.com
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 10 июля:
Сообщение >>
Расширение: .##___POLICJA!!!___TEN_PLIK_ZOSTA
Файл: JIGSAW_DZIALAJACY!!!-.exe
Результаты анализов: VT

Вариант от 23 июля:
Сообщение >>
Расширение: .black007
Результаты анализов: VT

Вариант от 1 августа:
Расширение: .invaded
Результаты анализов: VT

Вариант от 6 августа:
Версия: Turkish Jigsaw
Расширение: .tedcrypt

Вариант от 17 августа:
Расширение: .hacked.by.Snaiparul
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .lockedgood
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .fun
Результаты анализов: VT



Вариант от 17 августа:
Версия: Chinese 
Расширение: .pleaseCallQQ
Результаты анализов: VT

Вариант от 24 августа:
Версия: Polish 
Расширение: .#__EnCrYpTED_BY_dzikusssT3AM_ransomware!__#
Результаты анализов: VT

Вариант от 24 августа:
Расширение: .FuckedByGhost
Результаты анализов: VT

Вариант от 25 августа:
Расширение: .spaß
Текст на немецком языке. 
Создает новый ключ для каждого файла, который даже не сохраняется.


=== 2019 ===

Вариант от 14 января:
Сообщение >>
Расширение: .data
Сумма выкупа: 100€ (евро)
Текст на французском языке. 
Файл EXE: molotov.exe
Результаты анализов: VT



Вариант от 16 января 2019: 
Самоназвание: Oscar Venom
Сообщение: https://twitter.com/malwrhunterteam/status/1085949675012870144
Расширение: .venom
Файл: OscarRansomware.exe
Результаты анализов: VT

 

  


Вариант от 17 января: 
Расширение: .PC-FunHACKED!-Hello - повторяется 35 раз
Результаты анализов: VT



Вариант от 17 января: 
Поддельный Jigsaw Ransomware.
Пароль: 1212
Результаты анализов: VT




Вариант от 29 января: 
Сообщение >>
Самоназвание: ANTI-CAPITALIST
Расширение: .fun
Текст на французском языке. 
Результаты анализов: VT



Вариант от 31 января: 
Сообщение >>
Расширение: .YOLO
Email: redteam@yolosecfamework.com
➤ Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as.as3, .asf, .asp, .asx, .avi, .bmp.c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений).
Результаты анализов: VT + HA


➤ Текст вымогателей (содержит ошибки): 

Greeting and salutations, Blue Team.
Your personal files are deleting. Your company intellictual property is belonging to us now...
But, Red Team is not being so hearless. It will only happen if you don't pay ransom.
However we has encrypting so as not you can access them.
Every 10 minutes we are selects some of them to deleted permanently, therefore we cannot accessing them, either.
While Red Team is being merciful, Red Team is not without limiting patience.
We starts out slowmess then increasing delted files every 10 minutes.
This is to be helping you with the decision to pay ransom and recover datas. 
the next a few hundred, and a few thousand, and so on. You are getting the breeze, no?
If you are turning off your computer or closing window, when malware start next time we will 1000 files deleted as way of punishmenting you.
You wil be wanting malware to start next time, since only way that is capable to decrypting your personal datas for you.
Please be sending all payments to redteam@yolosecfamework.com
Also including unique hash in text box below or not know who to decrypted.
Send a picture of the blue team holding sign that say 'Red Team Rules' to: 
***


Вариант от 7 февраля: 
Сообщение: https://twitter.com/demonslay335/status/1093512884867530752
Расширение: .paycoin 

Вариант от 17 февраля: 
Версия: DeltaSEC Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1096850085697282049

Вариант от 2 апреля: 
Сообщение: https://twitter.com/malwrhunterteam/status/1113067683581321216
Расширение: .locked
Email: onlineservices1@usa.com 
Hacked by Z3b1 *** 

Вариант от 10 июля: 
Версия: Rodentia Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1148963349775945728

Вариант от 27 сентября: 
Сообщение: https://twitter.com/malwrhunterteam/status/1177517626521604097
Выглядит как Jigsaw. 
Расширение: .LOCKED_PAY

Новость от 19 ноября: 

Вариант от 20 ноября: 
Сообщение: https://twitter.com/demonslay335/status/1197186386136387586

Вариант от 7 декабря:
Версия: Czech/Slovak
Сообщение: https://twitter.com/malwrhunterteam/status/1203052551379341312
Сообщение: https://twitter.com/fbgwls245/status/1203492475291090945
Сообщение: https://twitter.com/raby_mr/status/1203915444945588224
Расширение: .fun

Вариант от 31 декабря:
Версия: AlbCry на основе Jigsaw. 
Сообщение: https://twitter.com/malwrhunterteam/status/1211730239128248321


=== 2020 ===

Вариант от 19 февраля: 
Сообщение: https://twitter.com/Jirehlov/status/1229927225081749504
Сообщение: https://twitter.com/GrujaRS/status/1230025038352519169
Расширение: .exe

Вариант от 1 мая: 
Сообщение: https://twitter.com/James_inthe_box/status/1256219698728972291
Расширение: .zemblax

Вариант от 16 мая: 
Сообщение: https://twitter.com/jstrosch/status/1261431163878588417

Вариант от 11 июля:
Топик на форуме >>
Расширение: .btc
Результаты анализов: VT



Вариант от 17 июля: 
Сообщение: https://twitter.com/Kangxiaopao/status/1284071330241892353
Расширение: .homer

Вариант от 25 октября: 
Сообщение: https://twitter.com/GrujaRS/status/1320118445732732933
Расширение: .evil


=== 2021 ===

Варианты от 8-10 сентября: 
Расширение: .fun
Результаты анализов: VT + AR + IA / VT + AR + IA 

Вариант от 3 апреля:
Сообщение: https://twitter.com/GrujaRS/status/1378357626749259778
Расширение: .cat

Вариант от 27 августа 2021:
Email: Jessie.pinkk@mailfence.com, Jessiepinkk@tutanota.com, JessieCage@cock.li




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *