Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

суббота, 17 февраля 2018 г.

Thanatos

Thanatos Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.01 BTC, чтобы вернуть файлы. Оригинальное название: Thanatos. На файле проекта написано: Thanatos.pdb.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .THANATOS

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Your computer is encrypted. All data will be lost if you do not pay 0.01 BTC to the specified BTC wallet
1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF
after payment you will receive the decryption code from this mail
c-m58@mail.ru

Перевод записки на русский язык:
Ваш компьютер зашифрован. Все данные пропадут, если вы не заплатите 0,01 BTC на BTC-кошелек
1DRAsxw4cKAD1BCS9m2dutduHi3FKqQnZF
после оплаты вы получите код дешифрования из этой почты
c-m58@mail.ru

Технические детали

Подтверждены случаи распространения вредоноса с помощью вложения в сообщение чата Discord. Ссылка представлена ниже в разделе "Сетевые подключения и связи".

Также может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ По данным исследователей, ключ шифрования нигде не сохраняется, потому даже сами вымогатели не смогут расшифровать файлы. Уплата выкупа бесполезна!

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
README.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: c-m58@mail.ru
BTC: 1DRAsxw4cKAD1BCS9m2dutduHi3FKqQnZF
xxxxs://cdn.discordapp.com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe***
xxxx://iplogger.com:80/1CUTM6
xxxx://iplogger.com:80/1t3i37
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 февраля 2018:
Представление: Версия 1.1
Пост в Твиттере >>
Расширение .THANATOS
Email: thanatos1.1@yandex.com
Сумма выкупа: 200$ в криптовалюте
BTC: 1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh
ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f

Наверное это первый крипто-вымогатель, который принимает выкуп в криптовалюте Bitcoin Cash.
Записи в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Microsoft Update System Web-Helper" = "C:\Windows\System32\notepad.exe %UserProfile%\Desktop\README.txt"
Результаты анализов: VT
Новая статья на BC >>

Еще один вариант записки:

Email: shadowbrokers@yandex.ru

Были также другие версии, которые не содержали контактной информации и, вероятно, предназначались для уничтожения данных на ПК.

Обновление от 20 февраля 2018:
Пост в Твиттере >>
Из исходного кода Thanatos Ransomware.

Обновление от 30 августа 2018:
Пост в Твиттере >>
Самоназвание: PICO Ransomware

Сумма выкупа: $100
BTC: 3QK9umWMV1nrn8nadZ9eGnJ76Bg4jiJLem
ETH: 0xBb171CC7113dbdc532C42D22928f6b6c56fBE242
Email: de.picocode@gmail.com

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать ThanatosDecryptor.exe для дешифровки >>
Статья, прилагающаяся к дешифровщику >> 
*
Предварительно установите по ссылке:
Распространяемый компонент Microsoft Visual C++ для Visual Studio 2017

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware (ID as Thanatos)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 S!Ri, Lawrence Abrams
 CyberSecurity GrujaRS

четверг, 15 февраля 2018 г.

DriedSister

DriedSister Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название (下物妹 - Oroshimo imōto, звучит как "оросимо имото"). На файле написано: Ransom.exe

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .下物妹!

Активность этого крипто-вымогателя пришлась на середину февраля 2018 г. Ориентирован на японских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает небольшой диалоговый экран с заголовком на японском 干物妹！身代金ウイルス:

Содержание записки о выкупе:
こんにちは！私はあなたが矹た身代金のウイルスです。
文香は私によって萌化されてし巧。

Перевод записки на русский язык:
Привет вам! Я ваш вирус-вымогатель.
Фумика выросла и обработана мной.

Очевидна связь с сюжетом японских комиксов (вики-ссылка).

Технические детали

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as DriedSister)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *

Saturn

Saturn Ransomware

Saturn RaaS Ransomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Через неделю сумма удваивается. Оригинальное название: Saturn. См. также видеоролик.

© Генеалогия: ✂ InsaneCrypt + CoinMiner > Saturn

Это изображение не используется шифровальщиком

К зашифрованным файлам добавляется расширение .saturn

Активность этого крипто-вымогателя пришлась на середину 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
#DECRYPT_MY_FILES#.txt - текстовая записка
#DECRYPT_MY_FILES#.html - веб-страница
#DECRYPT_MY_FILES.BMP - изображение на обои
#DECRYPT_MY_FILES#.vbs - скрипт для звукового сообщения

Текстовая записка

Веб-страница

Обои на рабочий стол

Скрипт для звукового сообщения

Содержание текстовой записки о выкупе:
SATURN
All of your files have been encrypted!
To Decrypt your files follow these steps:
#---------------------------------------------#
1. Download and install the "Tor Browser" from https://wivw.torproject.org
2. Run it.
3. In the Tor Browser, open website:
xxxx://su34pwhpcafeiztt.onion
4. Follow the instructions on the page
#---------------------------------------------#

Перевод текстовой записки на русский язык:
SATURN
Все ваши файлы были зашифрованы!
Для расшифровки ваших файлов следуйте шагам:
# --------------------------------------------- #
1. Загрузите и установите "Tor Browser" с https://wivw.torproject.org
2. Запустите его.
3. В Tor-браузере откройте веб-сайт:
xxxx://su34pwhpcafeiztt.onion
4. Следуйте инструкциям на странице
# --------------------------------------------- #

Скриншоты страниц сайта вымогателей

увеличение по клику / click to enlarge

Технические детали

Список файловых расширений, подвергающихся шифрованию:

.123, .1cd, .3dm, .3ds, .602, .accdb, .aif, .apk, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .cdr, .cfg, .cgm, .class, .com, .config, .cpp, .crt, .csr, .csv, .dat, .dbf, .dif, .doc, .docm, .docp, .docx, .dwg, .gadget, .gif, .h, .ico, .iff, .jar, .java, .jpeg, .jpg, .json, .lib, .m3u, .m4a, .max, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .ms11 .(Security .copy), .ms11, .msg, .nef, .obj, .odg, .odt, .ogg, .p12, .pages, .pas, .pdb, .pdf, .pem, .php, .png, .pproj, .pps, .ppt, .pptm, .pptx, .prproj, .ps1, .psd, .py, .qcow2, .rar, .rtf, .sfk, .sql, .sqlite, .svg, .tar, .text, .tif, .tiff, .torrent, .txt, .vbox, .vbs, .vdi, .veg, .vmdk, .vmx, .wallet, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (111 расширений).

Это, вероятно, также документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT_MY_FILES#.txt
#DECRYPT_MY_FILES#.html
#DECRYPT_MY_FILES.BMP
#DECRYPT_MY_FILES#.vbs
_R_E_A_D__T_H_I_S__O57SN15_.hta
#KEY-405866198423f923765fba3272b544bb.KEY ключевой файл для входа на Tor-сайт
SATURN_RANSOM.exe
<random>.exe - случайное название
<random>.lnk

Расположения:
\Desktop\ ->
\User_folders\ ->
\Start Menu\Programs\Startup\<random>.lnk

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://su34pwhpcafeiztt.onion
66.225.197.197:80 - compattelrunner.exe - США
См. ниже результаты анализов.

Результаты анализов:
ANY.RUN анализ и обзор >>
Intezer анализ >>
Гибридный анализ >> + HA stub.exe >>
VirusTotal анализ >> + VT stub.exe >>
CAPE анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от февраля-марта 2018:
Saturn RaaS Ransomware
Saturn RaaS открыт для регистрации новых вымогателей-аффилиантов в сети Dark Web. Схема оплаты Saturn RaaS 70%-30%, как ранее у Cerber RaaS.
То есть аффилианты получают 70% от выплаченных выкупов.

Расширение: может быть другим или случайным
Результаты анализов: VT - от 27 апреля 2019

Обновление от 23 августа 2019:
URL: http://su34pwhpcafeiztt.onion
Записка: #DECRYPT_MY_FILES#.txt

➤ Содержание записки:
S A T U R N
All of your files have been encrypted!
To Decrypt your files follow these steps:
#---------------------------------------------#
1. Download and install the "Tor Browser" from https://www.torproject.org
2. Run it.
3. In the Tor Browser, open website:
http://su34pwhpcafeiztt.onion
4. Follow the instructions on the page

#---------------------------------------------#
---
Результаты анализов: VT + AR + HA

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Saturn)
 Write-up (add. February 16, 2018), Topic of Support
 🎥 Video review

 <- видео обзор от CyberSecurity GrujaRS

  <-видеоролик от сервиса ANY.RUN

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 ANY.RUN, Andrew Ivanov
 CyberSecurity GrujaRS
 Lawrence Abrams

понедельник, 12 февраля 2018 г.

Blank

Blank Ransomware

(шифровальщик-вымогатель, Eduware)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует ввести пароль или кликнуть на "волшебную" кнопку, чтобы вернуть файлы. Оригинальное название: Blank. На файле написано: Blank.exe. Вероятно польского происхождения, т.к. в коде есть польские фразы.

© Генеалогия: HiddenTear >> Blank > Dodger, Litra

К зашифрованным файлам добавляется расширение .blank

Образец этого крипто-вымогателя был найден первой половине февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки или изображение на обоях (исследователь не предоставил информации):

Содержание записки о выкупе:
<blank></blank>
YOU HAVE BEEN INFECTED WITH BLANK RANSOMWARE
Your important files, documents, videos, pictures etc. have been encrypted.
In order to decrypt them click a magic button. This ransomware was made for fun and it won't want you to pay for files.
Have fun decrypting your files!

Перевод записки на русский язык:
<blank></blank>
ВЫ БЫЛИ ИНФИЦИРОВАНЫ BLANK RANSOMWARE
Ваши важные файлы, документы, видео, картинки и пр. были зашифрованы.
Чтобы расшифровать их, нажмите волшебную кнопку. Этот вымогатель был сделан для забавы и не требует от вас плату за файлы.
Получите удовольствие, расшифровав свои файлы!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Blank запускает процесс расшифровки, если нажать на волшебную кнопку-ссылку "What the hell is my password?!"

➤ Blank расшифровывает файлы и добавляет расширение .decrypted к расшифрованным файлам, вместо обычного удаления расширения.

Список файловых расширений, подвергающихся шифрованию:
.01, .11, .12, .123, .13, .14, .15, .18, .20, .21, .24, .25, .256, .2da, .32, .3do, .3g2, .3gp, .4, .42, .43, .6, .602, .7z, .9, .acm, .addr, .afl, .age3yrec, .ags, .ahc, .ai, .aif, .aiml, .ala, .alo, .anm, .anm, .ant, .apk, .arch00, .arj, .arz, .asf, .asg, .asset, .asx, .atlas, .aud, .avi, .azp, .baf, .bag, .bank, .bar, .bat, .bba, .bf, .bff, .big, .bik, .bikey, .bin, .bin, .bin, .bix, .bk, .blb, .blk, .blorb, .blp, .bm2, .bmd, .bmd, .bmg, .bmp, .bmp, .bnd, .bndl, .bnk, .bns, .bnt, .bod, .bot, .bsa, .bsm, .bsp, .bun, .bundledmesh, .c, .cab, .capx, .card, .cas, .cbf, .ccw, .cd, .cdata, .cdp, .cem, .cfm,.cfr, .cgi, .cgm, .cha, .civ5save, .class, .clz, .cm, .cme, .cmg, .cok, .com, .cow, .cpn, .cpp, .cpx, .crf, .cry, .cs2, .csv, .ctp, .cvm, .d2i, .dat, .DayZProfile, .dazip, .db, .db0, .db1, .db7, .db9, .dbf, .dbi, .dc6, .dcc, .dcz, .dds, .ddsx, .ddt, .ddv, .deb, .dem, .dff, .dif.z, .djs, .dl, .dm_1, .dnf, .doc, .docm, .docx, .dog, .dor, .dot, .dotm, .dotx, .drl, .drs, .ds1, .dsb, .dxt, .dzip, .e4mod, .ebm, .ed, .edf, .ees, .eix, .ekx, .elu, .emi, .emz, .enc, .epc, .epk, .erp, .ert, .esf, .esm, .eur, .evd, .fbrb, .fda, .ff, .flmod, .flv, .fmf, .fomod, .forge, .fos, .fpk, .fps, .frd, .frw, .fsh, .fuk, .fxcb, .gaf, .gam, .game, .gax, .gblorb, .gcm, .gct, .gcv, .ggpk, .ghb, .gif, .gif, .gla, .gm, .gm1, .gob, .grle, .gro, .gsc, .gtf, .gxt, .h, .hak, .hbr, .he0, .hkx, .hlk, .hmi, .hogg, .hpk, .hsv, .htm, .html, .hwp, .i3animpack, .i3chr, .i3d, .i3exec, .ibf, .ibi, .ibt, .icd, .ids, .imc, .ims, .intr, .iqm, .isb, .itm, .itp, .iwd, .iwi, .j2e, .jam, .jar, .java, .jdf, .jit, .jpeg, .jpg, .jpz, .JQ3SaveGame, .js, .jsp, .jtd, .jtt, .key, .kf, .kto, .l2r, .la0, .lab, .lbf, .ldw, .lec, .lfd, .lfl, .litemod, .lmg, .lnc, .lng, .los, .lpr, .lrf, .lrn, .lsd, .lsd, .lt, .lta, .ltx, .lua, .lug, .lvl, .lzc, .m2, .m2ts, .m4s, .mao, .map, .material, .mca, .mcmeta, .mcworld, .md2, .md4, .mdl, .me2headmorph, .mgx, .mine, .mis, .mkv, .mlx, .mob, .model, .modpak, .mog, .mov, .mov, .mp3, .mp4, .mpa, .mpeg, .mpeg4, .mpg, .mpk, .mpq, .mpqe, .mrm, .mta, .mtf, .mtr, .mul, .mve, .mwm, .myp, .mys, .n2pk, .nav, .naz, .ncs, .nfs11save, .nfs13save, .ngn, .nh, .nif, .ntl, .nut, .oac, .odp, .ods, .ogg, .oob, .opk, .oppc, .opq, .osf, .osk, .osr, .osu, .osz, .otd, .p3d, .pac, .package, .pak, .papa, .pat, .patch, .pbn, .pcc, .pck, .pcpack, .pdb, .pdf, .pff, .php, .phz, .pk2, .pk3, .pk4, .pk7, .pkg, .pkx, .pkz, .pl, .player, .plr, .png, .pot, .potm, .potx, .ppe, .pps, .ppt, .pptm, .pptx, .profile, .psark, .psd, .psk, .psv, .psw, .pt2, .pta, .pud, .pxl, .py, .pyc, .qst, .qsv, .qvm, .raf, .rar, .rav, .rbn, .rbz, .rcf, .rda, .re4, .replay_last_battle, .res, .rez, .rgm, .rgss3a, .rgssad, .rgt, .rim, .rlv, .rm, .rmv, .rofl, .rpack, .rpf, .rrs, .rss, .rtf, .rvm, .rvproj2, .rw, .rwd, .rwv, .rx3, .rxdata, .sabl, .sabs, .sav, .sav2, .save, .sc1, .SC2Replay, .scb, .scm, .sco, .sda, .sdc, .sdd, .sdp, .sdw, .sex, .sfar, .sga, .sgh, .sgl, .sgm, .sh, .shader_bundle, .sii, .sims2pack, .sims3pack, .skudef, .slh, .slk, .sngw, .sns, .spawn, .spidersolitairesave-ms, .spv, .stormreplay, .streamed, .sv4, .sv5, .sve, .swar, .swd, .swe, .swf, .swift, .sww, .szs, .t3, .tad, .taf, .tar, .tar.gz, .tas, .tbc, .tbi, .tdf, .tew, .tex, .tfc, .tfil, .tgx, .tif, .tiff, .tiff, .tiger, .til, .tinyid, .tir, .tit, .tlk, .tobj, .tor, .tre, .trf, .tsr, .tst, .ttarch, .ttarch2, .ttg, .ttz, .txd, .txt, .u2car, .uasset, .uax, .ubi, .uc, .ucs, .udk, .udm, .ugd, .uhtm, .umod, .umv, .unity, .unity3d, .unr, .uof, .uot, .upk, .ut4mod, .utc, .utx, .vb, .vcm, .vdf, .vdk, .vef, .vfs, .vfs0, .vis, .vmt, .vob, .vob, .vol, .vor, .vpp, .vpp_pc, .vpt, .vtf, .w3g, .w3x, .w3z, .wad, .wai, .wav, .wb2, .wep, .wf, .whd, .wk1, .wks, .wld, .wma, .wmv, .world, .wotreplay, .wowpreplay, .wowsreplay, .wpd, .wpl, .wps, .wsf, .wso, .wtf, .wx, .wxd, .xbe, .xbf, .xcr, .xex, .xfbin, .xhtml, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmg, .xml, .xp3, .xpd, .xpk, .xtbl, .xwm, .xxx, .yaf, .ydc, .ydk, .ydr, .yrm, .yrp, .ytd, .z2f, .z3, .zar, .zdk, .zfs, .zip, .zse (624 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Blank.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
VirusTotal analysis >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Еще не было обновлений.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 *

 Thanks: 
 Bart, Michael Gillespie
 Andrew Ivanov
 *
 *

Defender

Defender Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Defender и MpCmdRun. На файле написано: MpCmdRun, Microsoft Malware Protection. Версия: 4.5.218.0. Фальш-копирайт: Microsoft.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .defender

Активность этого крипто-вымогателя пришлась в первой половине февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа предлагается к загрузке с сервиса zippyshare.com и называется: Defender_Ransomware.txt

Содержание записки о выкупе:
***
YOUR FILES HAVE BEEN ENCRYPTED BY DEFENDER RANSOMWARE. THE WALL WILL NOT FALL. THIS RANSOMWARE IS NOT DECRYPTABLE. SORRY ABOUT THAT.

Перевод записки на русский язык:
***

ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ DEFENDER RANSOMWARE. СТЕНА НЕ УПАДЕТ. ЭТОТ ВЫКУП НЕ ДЕШИФРУЕМ. ИЗВИНИТЕ ЗА ЭТО.

Технические детали

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Defender)
 Write-up, Topic of Support
 *

 Thanks: 
 Bart
 Michael Gillespie
 *
 *

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

суббота, 17 февраля 2018 г.

Thanatos

Thanatos Ransomware

(шифровальщик-вымогатель)

четверг, 15 февраля 2018 г.

DriedSister

DriedSister Ransomware

(шифровальщик-вымогатель)

Saturn

Saturn Ransomware

Saturn RaaS Ransomware

(шифровальщик-вымогатель, RaaS)

понедельник, 12 февраля 2018 г.

Blank

Blank Ransomware

(шифровальщик-вымогатель, Eduware)

Translation into English

Defender

Defender Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

суббота, 17 февраля 2018 г.

Thanatos

Thanatos Ransomware

(шифровальщик-вымогатель)

четверг, 15 февраля 2018 г.

DriedSister

DriedSister Ransomware

(шифровальщик-вымогатель)

Saturn

Saturn Ransomware

Saturn RaaS Ransomware

(шифровальщик-вымогатель, RaaS)

понедельник, 12 февраля 2018 г.

Blank

Blank Ransomware

(шифровальщик-вымогатель, Eduware)

Translation into English

Defender

Defender Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

суббота, 17 февраля 2018 г.

четверг, 15 февраля 2018 г.

понедельник, 12 февраля 2018 г.