Если вы не видите здесь изображений, то используйте VPN.

понедельник, 8 января 2018 г.

Tk

Tk Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: возможно, Tk. На файле проекта написано: _tkinter.pdb.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
1198
your files have been encrypted
send 1 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7

Перевод записки на русский язык:
1198
ваши файлы зашифрованы
отправь 1 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchost.exe
evb(random{4}>.tmp (evb582E.tmp, evb579D.tmp, evb5858.tmp и др.)
encrypted 1.exe - encrypted 9.exe, encrypted 0.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as tk)
 Write-up, Topic of Support
 * 
 Thanks: 
 JAMESWT‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 7 января 2018 г.

CryptoMix-System

CryptoMix-System Ransomware

CryptoMix-SYSTEM Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: не указано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix-Revenge > CryptoMix-System, CryptoMix-SYSTEM  

К зашифрованным файлам добавляются расширения .System или .SYSTEM
Эти расширения встречались раздельно, вероятно, это разные варианты. 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. и продолжилась в феврале. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
System CryptoMix Ransomware

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-dcd3c0a1-6659-4b92-950a-7a6e2f39bec9 number

Перевод записки на русский язык:
Hello!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
Пожалуйста, отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-dcd3c0a1-6659-4b92-950a-7a6e2f39bec9 number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 31 января 2018:
Расширение: .SYSTEM
Примеры зашифрованных файлов: 
0D0A516824060636C21EC8BC280FEA12.SYSTEM
1E916DB63E0ACAF8BA46C2E14068AEAC.SYSTEM
28B0C4303AC580100F06CA073D3763C4.SYSTEM
Записка: _HELP_INSTRUCTION.txt



Результаты анализов: VT 
BTC: 1JzKzrm9sAcRyNgcR3x4xcftpwxW8ZafEy Сумма выкупа: 0.35 или другая
Email: systemwall@keemail.me
systemwall@protonmail.com
systemwall@yandex.com
systemwall1@yandex.com

Содержание записки:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
systemwall@keemail.me
systemwall@protonmail.com
systemwall@yandex.com
systemwall1@yandex.com
xxxx.x@dr.com (this email appears to be unique based on a name from the client address book)
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-af717ca2-a4ef-48ca-8bc1-8851bad1f877 number

Пример темы >>

Содержание ответного письма (из email):
Hello!
We are glad to hear You! And We will be happy to help You!
Here is Your personal instruction:
https://onetimesecret.com/secret/sng3c7hizuxszz8rfvgnz7bp4nXXX
Password:  035unit
Please read it carefully! After that just follow Your instruction and You will solve this problem very quickly!
Our kind regards,
name from client address book
Support Manager
Worldwide Children Charity Community
Her diagnosis:  Acute Lymphoblastic Leukemia (ALL)
Need for medical help:  $120k
Already contributed: 81k

Содержание ответа вымогателей (размещено на сайте onetimesecret.com):
Hello!
to decrypt your files You will need a special software with your special unique private key. 
Price of software with your private key is JUST a 0.35 bitcoins. With this product you can decrypt all your files and protect Your system!!! Protect!!! Your system will work without any vulnerability.
Also You will have a FREE tech support for solving any PC troubles for 3 years!
You can buy bitcoins through this bitcoin web site     https://localbitcoins.com/
or www.bitquick.co - fast way to buy bitcoin with cash
or www.coinatmradar.com - it`s a Bitcoin ATM (very simple and fast)
or www.paxful.com
Register there and find a nearest Bitcoin seller. It`s easy! Choose more comfortable payment method for buying Bitcoin!
After that You should send bitcoins to the charity bitcoin wallet address:
1JzKzrm9sAcRyNgcR3x4xcftpwxW8ZafEy
All this process is very easy! It`s like a simple money transfer.
And now most important information:
We are the International Children Charity Organisation! Your money will be spent for the children charity. So that is mean that You will get a participation in this process too. Many children will receive presents and medical help!
And We trust that you are kind and honest person! Thank You very much! We wish You all the best! Your name will be in the main donors list and will stay in the charity history!
Remember You can save many children destinies! Money for You is just a paper (You will earn money again in the next month), but for many children is a real chance to change their life!
Also ONLY WE can give to our customers very important benefits:
1) You will restore all Your data immediately
2) Your network vulnerabilities will be closed
3) You will protect Your system from the main attack in the future! It`s a very important option!
   Only our community can give You this opportunity! All other anti-malware companies just promise it, but in fact they cannot    protect You! It`s very terrible!
4) Main idea - many children will receive a donation and medical help from Your name!
5) You will have a free tech support for solving any PC troubles! Just ask a support and support will help You! 
P.S> When your payment will be delivered you will receive your software with private key IMMEDIATELY!
P.P.S> In the next 24 hours your price may be doubled by the Main Server automatically.
       So now you have a chance to restore your PC at low price!
Best regards,
Charity Team 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up (n/a), Topic of Support
 * 
Added later:
Write-up on BC (February 2. 2018)
*
 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 5 января 2018 г.

CryptoMix-SERVER

SERVER Cryptomix Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: не указано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix-Revenge > CryptoMix-SERVER  

К зашифрованным файлам добавляется расширение .SERVER

Примеры зашифрованных файлов:
01F7019D17706D0B9DD86F091A6E50BF.SERVER
3D5B73EC417B2E2BF517949442B4120B.SERVER
F06C3C509054X0B7D28ZCDDBB17087B9C3E.SERVER

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
serverup@keemail.me
serverup@protonmail.com
serverup1@yandex.com
serverup3@yandex.com
ann.c@iname.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
serverup@keemail.me
serverup@protonmail.com
serverup1@yandex.com
serverup3@yandex.com
ann.c@iname.com
Пожалуйста, отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-[id] number




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe
BC2D64A077.exe
BC3C3CB7E8.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: serverup@keemail.me
serverup@protonmail.com
serverup1@yandex.com
serverup3@yandex.com
ann.c@iname.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 3 января 2018 г.

Yoshikada

Yoshikada Ransomware

YoshikadaDecryptor, ZerwixDecryptor

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью DES (режим CBC) + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: YOSHIKADA DECRYPTOR. На файле написано: что попало. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: GlobeImposter 2.0 >> Yoshikada, Zerwix 

К зашифрованным файлам добавляется расширение .crypted_yoshikada@cock_lu

Активность этого крипто-вымогателя пришлась на конец декабря 2017 и начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: how_to_back_files.html
Содержание записки о выкупе:
Attention! All your files are encrypted.
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - 
"YOSHIKADA DECRYPTOR" 
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. 
If you want to restore files, write us to the e-mail: 
yoshikada@cock.lu 
In subject line write "encryption" and attach your personal ID in body of your message also attach to email 3 crypted files. (files have to be less than 10 MB) 
It is in your interest to respond as soon as possible to ensure the recovery of your files, because we will not store your decryption keys on our server for a long time.
Your personal ID
*****

Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы.
Ваши документы, фото, базы данных и другие важные файлы зашифрованы криптографически сильными, без оригинального ключа восстановление невозможно! Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - 
"YOSHIKADA DECRYPTOR"
Использование других инструментов может испортить ваши файлы, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск. 
Если вы хотите восстановить файлы, напишите нам на email-адрес: yoshikada@cock.lu 
В строке темы напишите "encryption" и прикрепите свой персональный ID в теле сообщения, также приложите к письму 3 зашифрованных файла. (файлы должны быть меньше 10 Мб). 
В ваших интересах как можно скорее ответить, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить долго ваши ключи дешифрования на нашем сервере.
Ваш персональный ID
*****


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

Файлы, связанные с этим Ransomware:
how_to_back_files.html
<random>.exe
decryptor.exe - по сообщению Майкла Джиллеспи, этот же декриптер предоставляют вымогатели из GlobeImposter 2.0 пострадавшим после уплаты выкупа // отсюда указанная выше генеалогия.  

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: yoshikada@cock.lu
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Гибридный анализ На decryptor.exe >>
VirusTotal анализ на decryptor.exe >>
Intezer анализ на decryptor.exe >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 февраля 2018:
Топик на форуме / Topic of Support >>
Название / Name in note: ZERWIX DECRYPTOR
Расширение / Extension: .crypted_zerwix@airmail_cc
Email: zerwix@airmail.cc
Записка / Ransom-note: how_to_back_files.html
Содержание записки / Contents of note: 
Attention! All your files are encrypted.
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - 
"ZERWIX DECRYPTOR"
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: 
zerwix@airmail.cc
In subject line write "encryption" and attach your personal ID in body of your message also attach to email 3 crypted files. (files have to be less than 10 MB)
It is in your interest to respond as soon as possible to ensure the recovery of your files, because we will not store your decryption keys on our server for a long time.
Your personal ID
*****






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Post on Reddit
 ID Ransomware (ID under GlobeImposter 2.0 - add. February 2, 2018)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 quietman7, BleepingComputer
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 2 января 2018 г.

Heropoint

Heropoint Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $20 в BTC, чтобы вернуть файлы. Оригинальное название: Heropoint Ransomware. На файле написано: HeropointRansomware.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К незашифрованным файлам никакое расширение не добавляется. После реализации шифрования, возможно, что-то будет добавляться. 

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
WHAT HAPPENED ?
Your precious files have been encrypted from my virus
How do i  adjust this?
Pay 20$ in bitcoin to get password
WHAT DO NOT HAVE TO DO?
Open the task manager
Open the cmd (command prompt)
Open Regedit and sethc.....
Run pc in Safe Mode
Delete rigestries from msconfig
WHAT DOES IT HAPPEN IF I DO NOT PAY?
Well .... to files, photos, texts, word / powerpoint projects you can say goodbye ...

Перевод текста на русский язык:
ЧТО СЛУЧИЛОСЬ ?
Ваши ценные файлы зашифрованы моим вирусом
КАК МНЕ УЛАДИТЬ ЭТО?
Платите 20$ в биткоинах за пароль
ЧТО НЕ НУЖНО ДЕЛАТЬ?
Откройте диспетчер задач
Откройте cmd (командную строку)
Откройте Regedit и sethc.....
Запустите ПК в Безопасном Режиме
Удалите rigestries из msconfig
ЧТО БУДЕТ, ЕСЛИ Я НЕ ЗАПЛАЧУ?
Ну .... файлам, фото, текстам, Word и Powerpoint -файлам можете сказать гудбай ...



Технические детали

После доработки и релиза может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, которые должны были подвергаться шифрованию: .exe, .htlm, .ico, .jpg, .mp3, .mp4, .png, .pptx, .txt, .xlsx (10 расширений).
Но из-за ошибки в функционале шифруются все файлы, без ограничений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HeropointRansomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Heropointyt@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Heropoint)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *