RSA-NI

RSA-NI Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные серверов с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!! Your data breaches!!!.txt

Содержание записки о выкупе:
=========# rsa-ni ransomware #========
IMPORTANT: [redacted] and [redacted]
We hacked your server and copied your important data.
Please write us to the e-mail in 24 hours 0x720x730x610x30@tutanota.com  0x720x730x610x31@tutanota.com
After payment, Your data will be destroyed, Otherwise your data will be leaked to the public.
=========# rsa-ni ransomware #========

Перевод записки на русский язык:
=========# rsa-ni ransomware #========
ВАЖНО: [отредактировано] и [отредактировано]
Мы взломали ваш сервер и скопировали ваши важные данные.
Пожалуйста, напишите нам на e-mail за 24 часа 0x720x730x610x30@tutanota.com 0x720x730x610x31@tutanota.com
После оплаты ваши данные будут уничтожены, иначе ваши данные станут доступны для публики.
=========# rsa-ni ransomware #========

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Серверные файлы, но это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!! Your data breaches!!!.txt
<random>.exe

Расположения:
/www/ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 0x720x730x610x30@tutanota.com
0x720x730x610x31@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA-NI)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Styx

Styx Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Styx Ransomware (написано в записке о выкупе). На файле написано: STX.exe, STX1.2.exe или что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .styx

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
0_HELP_DECRYPT_FILES.txt
0_HELP_DECRYPT_FILES2.txt
0_HELP_DECRYPT_FILES.html
0_HELP_DECRYPT_FILES2.html

Текстовый вариант записки о выкупе

Содержание текстовой записки о выкупе:
Attention!
All of your files have been encrypted by Styx Ransomware!
----Not your language? USE: https://translate.google.com/----
--------------------------------------------------------------------------------------
All of your files (photos, videos, documents, etc) are encrypted using AES-256 bit encryption
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and a decrypt program which is on our secret server.
Decryption of your files will cost you $300 Dollars worth of Bitcoin
Your files will be lost at 12/20/2017 7:12:35 PM, when this date has been passed your files are lost forever.
Please follow these instructions:
1. You can make a payment with Bitcoin, there are many methods to get them.
2. Register a bitcoin wallet or login to one if you already have one, if you don't we recommend http://blockchain.info
3. Purchasing Bitcoins, altought it's not yet easy to buy bitcoins, it's getting simpler every day
Here are our recommendations:
https://localbitcoins.com/ International
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Send 300$ dollars worth of Bitcoins to the address specified below. After sending bitcoins send email to styxsupport@mail2tor.com with your Personal Identifier and your Bitcoin transaction ID
We will send you the decryption key and program after the payment has been confirmed
--------------------------------------------------------------------------------------
YOUR PERSONAL Identifier: [redacted hex]
Bitcoin Address: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Bitcoin Amount: 300$ dollars worth of Bitcoins
--------------------------------------------------------------------------------------
5. After your payment has been confirmed, you will receive your decryption program and key in 1 hour
to email address that was used in Step 4.

Перевод записки на русский язык:
Внимание!
Все ваши файлы были зашифрованы Styx Ransomware!
---- Не ваш язык? ИСПОЛЬЗУЙТЕ: https://translate.google.com/----
-------------------------------------------------- ------------------------------------
Все ваши файлы (фото, видео, документы и т.д.) зашифрованы AES-256 бит шифрованием 
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с закрытым ключом и программой расшифровки, которая есть на нашем секретном сервере.
Расшифровка ваших файлов обойдется вам в 300 долларов в биткоинах
Ваши файлы будут утеряны в 12/20/2017 7:12:35 PM, когда эта дата истечет, ваши файлы будут потеряны навсегда.
Следуйте этим инструкциям:
1. Вы можете заплатить биткоины, есть много способов их получить.
2. Зарегистрируйте биткоин-кошелек или войдите в систему, если у вас он уже есть, если вы этого не делали, рекомендуем http://blockchain.info
3. Приобретение биткоинов, считалось, что покупать биткоины нелегко, становится все проще каждый день
Вот наши рекомендации:
https://localbitcoins.com/ международный
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Отправьте биткоины на сумму 300 долларов по ниже адресу. После отправки биткоинов пришлите email по адресу styxsupport@mail2tor.com с вашим личным идентификатором и вашим ID транзакции биткоинов
Мы отправим вам ключ и программу дешифрования после подтверждения оплаты.
-------------------------------------------------- ------------------------------------
ВАШ ЛИЧНЫЙ Идентификатор: [отредатировано]
Биткоин-адрес: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Биткоин-сумма: биткойны на сумму в 300 долларов
-------------------------------------------------- ------------------------------------
5. После подтверждения оплаты вы получите свою программу дешифрования и ключ за 1 час
на email-адрес, который использовался в шаге 4.

Варианты HTML-записок (реконструкция)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.123, .602, .asm, .CSV, .dif, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .pdf, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .RTF, .rtf, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd, .sxi, .sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (64 расширения)

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
STX.exe
STX1.2.exe
Они же под именами: FacebookHackerTool V4.7.exe, Reloder Activator.exe, Application.exe

Расположения:
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: styxsupport@mail2tor.com
BTC: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SGСм. ниже результаты анализов.

Результаты анализов:
HA - Гибридный анализ - Nov 25 >>
HA - Гибридный анализ - Dec 13 >>
VT - VirusTotal анализ - Nov 22 >>
VT - VirusTotal анализ - Nov 25 >>
VT - VirusTotal анализ - Nov 26 >>
VT - VirusTotal анализ - Dec 2 >>
VT - VirusTotal анализ - Dec 7 >>
VB - VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Styx)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CrY-TrOwX

CrY Ransomware 

CrY-TrOwX Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CrY (указано в записке). На файле написано: CrY и TrOwX 2017. Разработчик: ismail.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> CrY-TrOwX

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_AND_CRY_.txt
По коду это READ_AND_CRY+[passTxt].txt


Содержание записки о выкупе:
Hello All Your Important Files Are Encrypted by CrY!
Communicate With Us To Save Your Files!
E-Mail Address : kaya.kyasor99@yandex.com

Перевод записки на русский язык:
Привет Все Ваши Файлы Зашифрованы CrY!
Свяжитесь с нами, чтобы сохранить ваши файлы!
E-Mail адрес : kaya.kyasor99@yandex.com

Другим информатором жертвы является изображение, встающее обоями рабочего стола. 

Текст аналогичен тому, что в записке. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CrY.exe
READ_AND_CRY_.txt

Расположения:
\Desktop\READ_AND_CRY_.txt
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kaya.kyasor99@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WORK Cryptomix

WORK CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > WORK CryptoMix

К зашифрованным файлам добавляется расширение .WORK

Примеры зашифрованных файлов:
6F5AF5F0081C82B0EB1E086B094C6690.WORK
B387E61D1A3F8EE412C525631A6572C4.WORK
F06C3C509054X0B7D28ZCDDBB17087B9C3E.WORK

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
worknow@keemail.me
worknow@protonmail.com
worknow8@yandex.com
worknow9@yandex.com
worknow@techie.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
worknow@keemail.me
worknow@protonmail.com
worknow8@yandex.com
worknow9@yandex.com
worknow@techie.com
Пожалуйста, отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-[id] number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe
BC2D64A077.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
worknow@keemail.me
worknow@protonmail.com
worknow8@yandex.com
worknow9@yandex.com
worknow@techie.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая или средняя.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Noblis

Noblis Ransomware

Variants: Cyclone, SystemCrypter, Sorryforthis, Shinya, Nebula, Crypter

(шифровальщик-вымогатель, шифровальщик-обучатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.0 BTC, чтобы вернуть файлы. Оригинальное название: CRYPTER (указано в окне программы). Написан на Python. Утверждается, что разработан для академических и исследовательских целей. Создается при помощи Ransomware-генератора.

Обнаружения: 
DrWeb -> Trojan.Encoder.23889, Python.Encoder.1

ALYac -> Trojan.Ransom.Noblis
BitDefender -> Trojan.Ransom.PyCrypter.A
ESET-NOD32 -> Python/Filecoder.AC

Microsoft -> Ransom:Win32/Rabolis

Trend -> MicroRansom_NOBLIS.A

© Генеалогия: Ransomware Builder >> Noblis, Cyclone > SystemCrypter

К зашифрованным файлам добавляется расширение .noblis или .anyrun
Или любое другое, которое будет задано в Ransomware-генераторе. 

Образец этого крипто-вымогателя найден в начале декабря 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
CRYPTER
YOUR FILES HAVE BEEN ENCRYPTED!
Los archivos más importantes de este equipo han sido cifrados con un sistema de grado militar (AES-256)
Sus documentos, videos, imágenes y otros formatos (y por supuesto la FLAG) están fuera de su alcance... Y no podrá descifrarlos sin la llave apropiada... Esta se encuentra almacenada en un servidor remoto.
Las únicas formas de obtenerla, será pagando a la billetera antes que el tiempo se acabe.. También puede vulnerar el servidor remoto¿?...
O encontrar alguna falla en este sistema de cifrado¿?...
--- Recuerde que este reto es únicamente con fines académicos e investigativos... No pierda tiempo... Pues una vez termine la cuenta regresiva, los archivos serán eliminados de forma permanente ---
@4v4t4r
WALLET ADDRESS: nobliswallet99838399283928392323
BITCOIN FEE: 1.0

Перевод записки на русский язык:
CRYPTER
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Важные файлы этого компьютера зашифрованы шифрованием военного класса (AES-256)
Ваши документы, видео, изображения и другие форматы (и, конечно же, FLAG) недоступны ... И вы не сможете расшифровать их без правильного ключа ... Он находится на удаленном сервере.
Единственный способ получить его - заплатить на кошелек до истечения времени. Может ли он также нарушить удаленный сервер? ...
Можно ли найти недостатки в этой системе шифрования? ...
--- Помните, что этот выкуп предназначен только для академических и исследовательских целей ... Не тратьте время ... Ну, как только обратный отсчет закончится, файлы будут окончательно удалены ---
@4v4t4r
АДРЕС КОШЕЛЬКА: nobliswallet99838399283928392323
БИТКОИН ПЛАТА: 1.0

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .mp3, .msi, .pdf, .tar.gz, .tsx, .txt, .zip (10 расширений). 
Это документы Word, PDF, текстовые файлы, фотографии, музыка, архивы и пр.

Файлы, связанные с этим Ransomware:
nobles.exe
encrypted_files.txt
key.txt
и другие файлы

 

Процесс извлечения вымогателем python-файлов

Содержимое файла encrypted_files.txt

Расположения:
\Temp\nobles.exe
\Temp\<python_unpacked_files>
\AppData\Roaming\encrypted_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-test: nobliswallet99838399283928392323
См. ниже результаты анализов.

Результаты анализов:
Any.Run анализ и обзор (12 Dec) >>
Any.Run анализ и обзор (13 Dec) >>
VirusTotal анализ >>
Гибридный анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Noblis Ransomware - 12 декабря 2017 
Cyclone Ransomware - 15 декабря 2017

Обновление от 30 октября 2019:
Сообщение >>
Расширение: .sorryforthis
BTC: 12mdKVNfAhLbRDLtRWQFhQgydgU6bUMjay
Сумма выкупа: 0.08134
Результаты анализов: VT

=== 2020 ===

Вариант от 20 февраля 2020:

Сообщение >>

Самоназвание: MS ATP Demo

Расширение: .ransom

Файл изображения: C:\Users\User\AppData\Local\Temp\_MEI30402\lock.bmp

Добавление в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Crypter

Результаты анализов: VT + IA

Обновление от 6 апреля 2020:
Сообщение >>
Видеообзор >>
Самоназвание: Black orchid Team
Расширение: .shinya
Telegram: @shinya_dono
http://t.me/lucifer_ayr47
http://t.me/HeadNaughty
Результаты анализов: VT + VMR

Обновление от 12 апреля 2020:
Сообщение >>
Расширение: .nebula
Email: resolutionransomware@protonmail.com
Telegram: @Jorkey
Другие файлы: key.txt
Результаты анализов: VT + AR

➤ Содержание текста в окне экрана (часть текста):
[+]RUS
===========================
Привет! Ваши важные файлы были зашифрованы!
Единственный способ расшифровать ваши файлы - это получить закрытый ключ и программу расшифровки.
Не трать зря свое время. Никто не может восстановить их без нашей службы дешифровки.
Оплата должна быть произведена в биткоинах с использованием уникального кода, который мы сгенерировали для вас!
Все попытки расшифровать информацию самостоятельно приведут лишь к безвозвратной потере ваших данных.
Отправьте этот код по email или telegram: 1А191***
Связаться с нами:
Email: resolutionransomware@protonmail.com
Telegram: @Jorkey
===========================
[+]ENG|
***

Обновление от 26 августа 2020:
Сообщение >>
Расширение: .locked
BTC:12mdKVNfAhLbRDLtRWQFhQgydgU6bUMjay
Результаты анализов: VT + VMR

 

Обновление от 18 декабря 2020:

Топик на форуме >>

Самоназвание: ORACLE LOCK

Расширение: .oraclelock

Email: masteroracle4life@protonmail.com

BTC: 1H4vXYFdFjG7tFYhYjxjX2bxqbBGYDAFQa

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Noblis)
 Write-up, Topic of Support
 * 

 Thanks: 
 Any.Run, Andrew Ivanov (author)
 Michael Gillespie
 и другим, кто добавляет новые варианты
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private