Waffle

Waffle Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50$ в BTC, чтобы вернуть файлы. Оригинальное название: Waffle Ransomware. На файле написано: Waffle.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .waffle

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello you have been infected by Waffle Ransomware
This is not a joke if you shut off your PC your files will be deleted. You must pay 50$ USD bitcoin and you will recieve a key and your files will be unencrypted. 
Our bitcoin address is:158mxePDNmy2nuf44XXadd7rW5WxePAWGX
You have 24 hours.

Перевод записки на русский язык:
Это не шутка, если вы отключите свой компьютер, ваши файлы будут удалены. Вы должны заплатить 50 долларов в биткоинах, и вы получите ключ, и ваши файлы станут незашифроваными. 
Наш биткоин-адрес: 158mxePDNmy2nuf44XXadd7rW5WxePAWGX
У вас есть 24 часа.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Waffle.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 158mxePDNmy2nuf44XXadd7rW5WxePAWGX
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Waffle)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Teamo, Zika

Teamo Ransomware

Zika Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. Разработчик: Zika. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear/EDA2 >> Teamo (Zika)

Этимология названия:
По-испански фраза "Te Amo" означает "Я люблю тебя". 

К зашифрованным файлам добавляется расширение .teamo

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на испаноязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на Рабочем столе.

Содержание текста о выкупе:
Tus Archivos Has Sido Encryptados
(Your files have been encrypted)
Tus archivos has sido encryptados, lo que sighifica que ya no puedes abrirlos. Debo decir que no existe manera que los podamos recoperar :(... Mentira, contactame. Zika
Your files have beeh encrypted, which means you can not open them any more. I must say there is no way that the recipes :(...
Lie, contact me. Zika
Atte. Your Friend Zika

Перевод текста на русский язык:
Ваши файлы были зашифрованы
(Ваши файлы были зашифрованы)
Ваши файлы были зашифрованы, это значит, что вы больше не сможете их открыть. Должен сказать, что мы не можем их восстановить: (... Вру, свяжитесь со мной.
Ваши файлы зашифрованы, это значит, что вы больше не сможете их открыть. Должен сказать, что нет способов: (...

Вру, свяжитесь со мной. Зика

Внимание. Ваш друг Зика

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
eda2.exe
<random>.exe
<image>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Curumim

Curumim Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Curumim. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Curumim

Этимология названия: 
На языке народа Тупи, одного из коренных народов Бразилии, "curumim" - мальчик, ребенок, малыш. Часто используется как прозвище Curumim в значении "Малыш". 

К зашифрованным файлам добавляется расширение .curumim 

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступаем изображение с "малышом". 

Содержание записки о выкупе:
Seus arquivos estao criptografados!
Voce tem apenas 1 Dia
Para entrar em contato ou seus arquivos serao totalmente perdidos!
lordashadow@gmail.com

Перевод записки на русский язык:
Ваши файлы зашифрованы!
У вас есть только 1 день
Для связи с нами, иначе ваши файлы будут полностью потеряны!
lordashadow@gmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
<image>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lordashadow@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GIBON

Gibon Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GIBON RANSOMWARE. Разработчик: AUS_8.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: предыдущие Ransomware того же разработчика > Gibon > DCRTR, DCRTR-WDM

Этимология названия: 
Слово GIBON замечено в трёх местах:
- на форумных площадках, где GIBON был представлен;
- на админ-панели оригинальной Encryption machine 'GIBON'
- в строке юзер-агента при его общении с C&C-сервером. 

Картинка в центре заимствована из логотипа телекомпании ВИD

См. поле User-Agent GIBON

К зашифрованным файлам добавляется расширение .encrypt

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.txt

Содержание записки о выкупе:
Attention! All the files are encrypted! 
To restore the files, write to the mail: bomboms123@mail.ru
If you do not receive a response from this mail within 24 hours, 
then write to the subsidiary: yourfood20@mail.ru

Перевод записки на русский язык:
Внимание! Все файлы зашифрованы!
Чтобы восстановить файлы, пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на письмо в течение 24 часов,
то пишите в филиал: yourfood20@mail.ru

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (вложенный вредоносный документ содержит макросы), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Лоуренс Абрамс предположил, как GIBON Ransomware шифрует файлы на ПК. При первом запуске GIBON подключается к своему C&C-серверу и регистрирует новую жертву, отправив строку в base64-кодировке, содержащую штамп-времени, версию Windows и строку "register". Наличие строки регистрации сообщает C&C-серверу, что это новая жертва, зараженная в первый раз.


C&C-сервер отправляет ответ, содержащий строку в base64-кодировке, которая будет использоваться GIBON в качестве примечания о выкупе. Благодаря тому, что сервер C&C-сервер предоставляет записку о выкупе, а не жёстко закодированную в исполняемом файле строку, то разработчик-вымогатель может обновлять его "на лету" без необходимости компиляции нового исполняемого файла.

Так выглядит закодированная записка о выкупе

Примечательна фраза в начале кодированной записки и в конце поле User-Agent (см. второе изображение выше в "Этимологии"):
VASI VASI - по-русски "вась-вась". 😺


Как только жертва будет зарегистрирована на C&C-сервере, то на скомпрометированном ПК будет сгенерирован ключ шифрования и отправлен на C&C-сервер в виде строки в base64-кодировке. Этот ключ будет использоваться для шифрования всех файлов на компьютере. Как и на предыдущий запрос, C&C-сервер ответит запиской о выкупе в base64-кодировке. После этого крипто-вымогатель начнёт шифровать файлы. При этом целевыми являются все файлы, независимо от расширения. Пропускается только папка Windows.

Во время процесса шифрования GIBON будет регулярно подключаться к C&C-серверу и отправлять ему PING, чтобы сообщить, что он все ещё шифрует файлы на компьютере. По окончании шифрование он отправит окончательное сообщение на сервер со строкой "finish", штампом времени, версией Windows и количеством зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в папке Windows.
Это, разумеется, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
fine.exe
READ_ME_NOW.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Джаббер: aus_8@xmpp.jp fraktal@xmpp.jp
Telegram @bishop_richi
Email: bomboms123@mail.ru и yourfood20@mail.ru
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/
xxxx://hack-tool.org/threads/46332/
xxxx://way-need.ru/upload/dc5b3a0b9c0f5af04bb5cc311117e7b7.exe
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   VT>>  VT>>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Подробнее Encryption machine 'GIBON' как RaaS
GIBON RANSOMWARE продаётся на форумах кибер-андеграунда с 11 мая 2017 года. 
Некоторые их таких адресов:
xxxxs://dublikat.one/threads/gibon-ransomware.67912/
xxxx://hack-tool.org/threads/46332/
xxxx://locobiz.ws/topic/1340-gibon-ransomware/

 Скриншоты Encryption machine 'GIBON'

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GibonDecrypter для дешифровки >>
*

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Gibon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SAD

SAD Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: SAD Ransomware. На файле написано: tGVkDTIb.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение, взятое из персонального ID жертвы, которое можно записать как .<personal_ID> или .<hex_ID>

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
_HELPME_DECRYPT_.txt - текстовый файл

_HELPME_DECRYPT_.html - HTML-файл (веб-страницf)

_HELPME_DECRYPT_.hta - HTA-файл (веб-приложение)

_HELPME_DECRYPT_.bmp - файл изображения для обоев

Содержание TXT-записки о выкупе:
 --  ALL YOUR FILES HAVE BEEN ENCRYPTED  -- 
All of your data(photo, documents, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
It means that you will not be able to accsess your files anymore until they´re decrypted.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The only one way to decrypt your files is to receive the private key and decryption program.
Dont waste your time. No one will be able to recover tem without our decryption service.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don´t know how to get Bitcoins, you can google: 'How to Buy Bitcoins' and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
If you dont know how to create a wallet go to http://blockchain.info/wallet and create a bitcoin wallet.
Need more information about Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
More information about the AES encryption can be found here:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
If you have any questions, write us: decrypt_sad@protonmail.com
YOUR PERSONAL IDENTIFICATION: 
51C51342BC305F401E014AAF44A***

Перевод TXT-записки о выкупе:
- ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ -
Все ваши данные (фото, документы, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Это значит, что вы больше не имеет доступ к своим файлам, пока они не будут расшифрованы.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Не тратьте свое время. Никто не сможет восстановить систему без нашей службы расшифровки.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Если вы не знаете, как создать кошелек, перейдите по адресу xxxx://blockchain.info/wallet и создайте биткоин-кошелек.
Вам нужна дополнительная информация о Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
Подробную информацию о AES-шифровании можно найти здесь:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Если у вас есть вопросы, напишите нам: decrypt_sad@protonmail.com
ВАША ПЕРСОНАЛЬНАЯ ИДЕНТИФИКАЦИЯ:
51C51342BC305F401E014AAF44A***

Содержание текста с обоев:
!!! IMPORTANT INFORMATION !!!
SAD RANSOMWARE
YOUR FILES HAVE BEEN ENCRYPTED
More information about Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
More details can be found in _HELPME_DECRYPT_.txt file
wich you can find on your desktop.
Your Personal ID:
E7A96F1D735F84C7CE636EF0E1C442***

Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
SAD RANSOMWARE
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Информация о биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Подробности можно найти в файле _HELPME_DECRYPT_.txt
который можете найти на рабочем столе.
Ваш Персональный ID: 
E7A96F1D735F84C7CE636EF0E1C442***

Содержание HTML-записки о выкупе:
SAD RANSOMWARE 
YOUR FILES ARE ENCRYPTED! 
If you want to restore your files, you need to buy the decrypter!
If you want to buy the decrypter, click the button below
[Yes, I want to buy] -> URL: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Если хотите вернуть свои файлы, вам нужно купить декриптер!
Если хотите купить декриптер, кликните на кнопку
[Да, я хочу купить] -> ссылка: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Содержание HTA-записки о выкупе:
SAD RANSOMWARE Instructions
SAD RANSOMWARE 
Instructions
All of your files(documents, photos, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don't know how to get Bitcoins, you can google: "How to Buy Bitcoins" and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins.
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE инструкции
SAD RANSOMWARE 
инструкции
Все ваши файлы (документы, фото, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина.
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

📢 Зашифровав файлы, SAD Ransomware проигрывает короткий звуковой сигнал. 

Список файловых расширений, подвергающихся шифрованию:
...  .cer, .DEU, .der, .jpg, .jepg, .gif, .htm, .html, .ini, .manifest, .pak, .pdf, .sig, .TXT, .txt, .url, ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Liesmich.htm.<personal_ID>
ReadMe.htm.<personal_ID>
_HELPME_DECRYPT_.txt

_HELPME_DECRYPT_.html

_HELPME_DECRYPT_.hta

_HELPME_DECRYPT_.bmp
tGVkDTIb.exe
picture.exe
<random>.exe

Расположения:
\Desktop\_HELPME_DECRYPT_.txt

\Desktop\_HELPME_DECRYPT_.html

\Desktop\_HELPME_DECRYPT_.hta

\Desktop\_HELPME_DECRYPT_.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Email: decrypt_sad@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SAD)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Skull HT

Skull HT Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.00156 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: The Art of Amazon Carding, Tool By NamscoPRO и This is a HQ Professionally Designed Tool

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Skull HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
Your computer has been LOCKED
Your personal files have been encrypted. 
Send Exactly 0.00156 BTC to Wallet ID 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B 
Then Email Us at novicehax890@gmail.com to Let Us know. 
You will need to state Your wallet ID to confirm Payment, After that We will supply You with the Decryption Key And tool.
With love... Hidden Tear Project :')

Перевод записки на русский язык:
Ваш компьютер заблокирован
Ваши личные файлы были зашифрованы.
Отправьте точно 0,00156 BTC на кошелек ID 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B
Потом дайте Нам знать на email novicehax890@gmail.com.
Вам нужно указать Ваш ID кошелька для подтверждения платежа, после чего Мы поставим Вам ключ дешифрования и инструмент.
С любовью ... Hidden Tear проект : ')

Есть также сообщение на изображении для обоев Рабочего стола. Картинка заимствована из старой темы "Windows XP Hacker Theme". 

Содержание текста на изображении:
Your Computer has been infected by the Hidden-Tear.
One of the Most powerful Ransomwares Around.
Do NOT panic. Read the READ_ME.txt File on Your Desktop 
And follow Instructions to restore Your Computers Files.

Перевод текста на русский язык:
Ваш компьютер был заражен Hidden-Tear.
Один из самых мощных вымогателей вокруг.
Без паники. Прочтите файл READ_ME.txt на рабочем столе.
Следуйте инструкциям по восстановлению файлов компьютеров.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
The Art of Amazon Carding.pdf.exe
READ_ME.txt

Расположения:
\Desktop\READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: novicehax890@gmail.com
BTC: 19GNGp9DSxEfWVeczhjvqvk4qVWv1fX45B
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.