B2DR

B2DR Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.1-0.3 BTC, чтобы вернуть файлы. Оригинальное название: неизвестно и нигде не упоминалось. На файле написано: нет данных.

© Генеалогия: B2DR. Начало

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .b2dr

Фактически используется составное расширение .bronmerkberpa1976@protonmail.com.b2dr 

Примеры зашифрованных файлов: 
.doc.bronmerkberpa1976@protonmail.com.b2dr 
.txt.bronmerkberpa1976@protonmail.com.b2dr
.png.bronmerkberpa1976@protonmail.com.b2dr

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
All your files are encrypted.
Ask how to restore your files by email bronmerkberpa1976@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
!!!With any changes to the encrypted files, do not forget to backup files!!!
Your ID: ***

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Спросите, как восстановить файлы по email bronmerkberpa1976@protonmail.com
Используйте только gmail.com, yahoo.com, protonmail.com.
Сообщения, написанные из других почтовых сервисов, мы не получим.
!!!При любых изменениях зашифрованных файлов не забудьте сделать копии!!!
Ваш ID: ***

В ответном письме вымогатели предлагают расшифровать несколько файлов бесплатно и передать из через сервис бесплатных загрузок:
"Hey. Archive any three files no larger than 2 mb.
Archive upload to http://sendspace.com and send us a link to the archive.
We will decrypt the files. Thank you."

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
readme.txt - первый вариант записки о выкупе

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bronmerberpa1976@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 мая 2018: 
Пост в Твиттере >>
Расширение: .b4wq
Составное расширение: .setimichas1971@protonmail.com.b4wq
Записка: Readme.txt
Email: setimichas1971@protonmail.com
Tor-Email: setimichas1971@torbox3uiot6wchz.onion
Зашифрованный файл включает ID жертвы из записки о выкупе (base64) и маркер файла ----BLOCK END---- на конце. 
➤ Содержание записки о выкупе: 
Your files were encrypted with AES-256.
Ask how to restore your files by email setimichas1971@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: setimichas1971@torbox3uiot6wchz.onion
ATTENTION: e-mail (setimichas1971@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted 0x11B bytes in base64]----BLOCK END----



Обновление от 11 июня 2018: 
Пост в Твиттере >>
Расширение: .gw3w
Составное расширение: .reycarnasi1983@protonmail.com.gw3w
Записка: ScrewYou.txt
Email: reycarnasi1983@protonmail.com
➤ Содержание записки: 
Your files were encrypted with AES-256.
Ask how to restore your files by email reycarnasi1983@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: reycarnasi1983@torbox3uiot6wchz.onion
ATTENTION: e-mail (reycarnasi1983@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted base64] -----END KEY-----



Обновление от 13 июня 2018: 
Пост в Твиттере >>
Расширение: .b2fr
Составное расширение: .ssananunak1987@protonmail.com.b2fr
Записка: Readme.txt
Email: ssananunak1987@protonmail.com
➤ Содержание записки: 
Your files were encrypted with AES-256.
Ask how to restore your files by email ssananunak1987@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: ssananunak1987@torbox3uiot6wchz.onion
ATTENTION: e-mail (ssananunak1987@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted base64]----BLOCK END----

Обновление от 16 октября 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .sg1e
Составное расширение: .passoamoma@keemail.me.sg1e
Записка: Readme.txt
Email: passoamoma1983@protonmail.com, passoamoma@keemail.me

В этом варианте используются маркер файла как у B2DR Ransomware и ID в записке как у B2DR. Хотя сама записка содержит текст, который очень похож на используемый в Ryuk Ransomware. 
➤ Содержание записки: 
Ladies and Gentlemen!
In the security system of your business a serious hole.
You are lucky that we are not students who sell private company data.
We helped keep your data confidential.
Now your files are crypted with the strongest millitary algorithms RSA and AES.
No one can help you to restore files without our special decoder.
Any public program for decrypting files will permanently damage your files.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files (max size 5 Mb each, non-archived and your files should not contain valuable information (Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please do not forget to write your ID in the email.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.1 BTC
As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.
[Attention! Again.]
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember! We are not scammers.
We do not need your data, but after 4 weeks, the keys for decrypting your files will be deleted automatically.
Write to us as soon as possible.
All data will be restored absolutely.
Your warranty - decrypted samples.
>>>> Did not receive an answer? <<<<
Check the SPAM folder.
>>>> Is the SPAM folder empty? <<<<
Write to us again.
contact emails
To:  passoamoma1983@protonmail.com, passoamoma@keemail.me
Subject: Encrypted files
Message: YOUR ID and Your question
[YOUR ID]
IAAAAC/plQay3cg0dd9ciV89GipFnTzMVKaP296*****CFw6B/k=  [428 знаков]

Обновление от 13 ноября 2018:
Топик на форуме >>
Расширение: ***
Записка: ***
Email: cloctabernsand1989@protonmail.com
Tor-email: cloctabernsand1989@torbox3uiot6wchz.onion

➤Содержание записки:
*****
Your files were encrypted with AES-256.
Ask how to restore your files by email cloctabernsand1989@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 12 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
B) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: cloctabernsand1989@torbox3uiot6wchz.onion
ATTENTION: e-mail (cloctabernsand1989@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
IAAAAFA0v47bqnaSqVbO9+nrg***---END KEY----- [388 знаков без ---END KEY-----]


Обновление от 25 декабря 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .wq2k
Составное расширение: template.jpg.artilkilin@tuta.io.wq2k
Записка: Readme.txt
Email: artilkilin1984@protonmail.com, artilkilin@tuta.io
➤ Содержание записки: 
Dear computer users. 
All your files were encrypted.
The cost of decryption directly depends on how quickly you write us. 
To show you that we can help you, send us 3 files that do not contain a valuable infomation. Files such as photos or text files. 
We do not recommend restarting your computer, installing antivirus software, or changing file names. All of these actions can cause grant file loss.  
Q: Did not receive an answer? 
A: Check the SPAM folder.
Q: My spam folder is empty, what should I do?
A: Write us with a new email, preferably with protonmail.com
contact emails
To:  artilkilin1984@protonmail.com, artilkilin@tuta.io
Subject: Encrypted files
Message: YOUR ID and Your question
[YOUR ID]
IAAAAHJZVl/1CCjSC3FE9y***RQTimtVptTytCRKiawczUKyI/  [388 знаков]


Обновление от 21 мая 2019:
Расширение: .ke3q
Составное расширение: .open_readme.txt.ke3q
Пример зашифрованного файла: Work-connections.doc.open_readme.txt.ke3q
Записка: Readme.txt
Email: loggitore1984@protonmail.com
loggitore1984@cock.li
loggitore1984@mailchuck.com
loggitore1984@tuta.io
BitMessage: BM-NBagPL1pc8yKDocYNB95XJArzuV19GzS
BM-NBREUMXRztJySnntMx2Jg8vW9j89szWQ

➤ Содержание записки: 
HOW TO GET MY FILES BACK?
1) Download and Install TorBrowser https://www.torproject.org/download/
2) Open link: http://helpmeplzeejynph.onion/946791530a05bf85f79ad00a5003bde4 in TorBrowser
3) Follow the instructions on the site.
Bitmessage contact: BM-NBagPL1pc8yKDocYNB95XJArzuV19GzS
https://bitmessage.org/wiki/Main_Page
---BEGIN KEY---
IAAAAHc82tPv9Wz***M7WxBkQ==
---END KEY--- [420 знаков]

➤ Текст на странице в сети Tor:
IF YOU HAVE NOT RECEIVED A RESPONSE FROM US WITHIN 3 HOURS, PLEASE RE-OPEN THIS LINK AND CHECK OUR CONTACT DETAILS, THEY CAN CHANGE.
If the contact details are the same, try a different way to contact us.
E-mail communication method:
1) loggitore1984@protonmail.com
2) loggitore1984@cock.li
3) loggitore1984@mailchuck.com
4) loggitore1984@tuta.io
Bitmessage communication method:
1) Download https://bitmessage.org/wiki/Main_Page
2) Write on BM-NBREUMXRztJySnntMx2Jg8vW9j89szWQ
In the first message you need to send a file readme.txt
REMEMBER. IT IS IMPORTANT.
The cost of decrypting files depends on:
1) Your country.
2) How quickly you turned to us for help.
REMEMBER. Your personal data and your company data were vulnerable.
Your reputation suffers.
We can help you get your files back, and also show you what needs to be done so that this does not happen again. 

Обновление от 9 сентября 2020:

Топик на форуме >>

Расширение: .hr5d

Составное расширение: .open_readme.txt.hr5d

Пример зашифрованного файла: Work-connections.doc.open_readme.txt.hr5d

Записка: Readme.txt

Email: lousimzaci19@protonmail.com, lousimzaci19@tutanota.com

Tor-URL: http://filesbackzmr2aom.onion/

➤ Содержание записки: 

HOW TO GET MY FILES BACK?

1) Download and Install TorBrowser https://www.torproject.org/download/

2) Open link: http://filesbackzmr2aom.onion/*** in TorBrowser

3) Follow the instructions on the site.

---BEGIN KEY---

*****

---END KEY---

---

➤ Содержание записки на сайте:

Main mail: lousimzaci19@protonmail.com

Second mail: lousimzaci19@tutanota.com

We are always responsible.

If there is no answer for several hours, then it is worth visiting this page, most likely we have changed our contact information.

This URL is unique and known only to you. Therefore, we know that you visited this URL.

The cost of our program depends on how quickly you write to us.

We decrypt files for residents of Venezuela for free, the IP of your server should be determined by most public databases as from Venezuela.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topics of support)
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

WhiteRose

WhiteRose Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. 🔓 Статус: файлы можно дешифровать. 

Обнаружения: 
DrWeb -> Trojan.Encoder.25053, Trojan.Encoder.25064
BitDefender -> Trojan.GenericKD.30515346, Generic.Ransom.Hiddentear.A.A3A73378
ALYac -> Trojan.Ransom.WhiteRose

© Генеалогия: InfiniteTear (modified) > BlackRuby > WhiteRose

К зашифрованным файлам добавляется расширение .WHITEROSE

Название зашифрованного файла переименовывается в случайное с добавлением между новым названием и новым расширением фразы _ENCRYPTED_BY 
В итоге получается составное расширение: _ENCRYPTED_BY.WHITEROSE

Примеры зашифрованных файлов:
BT2cJMtNeYlaKJHP_ENCRYPTED_BY.WHITEROSE
0VAZ5EHP7SDdG1vp_ENCRYPTED_BY.WHITEROSE

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RECOVERY-FILES.TXT
В записке о выкупе есть изображение розы в ASCII. 

В записке используется созданное в ASCII изображение белой розы. 

Это изображение в знаках ASCII предшествует основному тексту записки. Далее идет следующий текст. 

Содержание записки о выкупе:
=====================[PersonalKey]=====================
PpWh3f536r******SaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvv**********
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZs**********
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment, peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes among the hordes of white rose flowers. Everything is natural. I'm just a little interested in hacking and programming. My only electronic devices in this big garden are an old laptop for do projects and an iPhone for check out the news feeds for malware analytics on Twitter without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation of the number of white roses sold and I say to myself that the wealth is having different friends of different races, languages, habits and religions, Not only being in a fairly stylish garden with full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
///////////////////////////////////////////////////
    [Recovery Instructions]
    I.   Download qTox on your computer from [https://tox.chat/download.html]
    II.  Create new profile then enter our ID in search contacts
         Our Tox ID: "6F548F21789***".
        III. Wait for us to accept your request.
        IV.  Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for  trust us in our Tox chat.  
             IV.I. Only if you did not receive a reply after 24 hours from us,
            send your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
         IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
                and register in "http://torbox3uiot6wchz.onion" Mail Service)
        V.   We decrypt your two files and we will send you.
        VI.  After ensuring the integrity of the files, We will send you payment info.
        VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
        VIII.Everything returns to the normal and your files will be released.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it, and those who are not authorized cannot. Encryption does not itself prevent interference, but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message, referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme, considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод записки на русский язык:
***Поэтичный рассказ вымогателя о себе и том, как он проводит время и как хочет подарить всем белые розы.***
///////////////////////////////////////////////////
[Инструкции по восстановлению]
    I. Загрузите qTox на свой компьютер с [https://tox.chat/download.html]
    II. Создайте новый профиль, затем введите наш идентификатор в поиске контактов
        Наш Tox ID: "6F548F21789 ***".
    III. Подождите, пока мы примем ваш запрос.
        Скопируйте '[PersonalKey]' из файла "HOW-TO-RECOVERY-FILES.TXT" и отправьте этот ключ с одним зашифрованным файлом меньше 2 МБ, чтобы доверять нам в нашем чате Tox.
    IV.I. Только если вы не получили ответ через 24 часа от нас,
            отправьте свое сообщение на наш безопасный email-адрес
"TheWhiteRose@Torbox3uiot6wchz.onion".
    IV.II. Для выполнения "Шага IV.I" и входа в сеть TOR вы должны загрузить Tor-браузер и зарегистрироваться в почтовом сервисе "http://torbox3uiot6wchz.onion")
    V. Мы расшифруем два ваших файла, и мы отправим вам.
    VI. После обеспечения целостности файлов мы отправим вам информацию об оплате.
    VII. Теперь после оплаты вы получаете "WhiteRose Decryptor" вместе с закрытым ключом вашей системы.
    VIII. Все вернётся в нормальное состояние и ваши файлы будут освобождены.
Что такое шифрование?
В криптографии шифрование - это процесс кодирования сообщения или информации таким образом, что только авторизированные стороны могут получить к нему доступ, а те, кто не авторизован, не могут. Шифрование само по себе не допускает вмешательство, но не позволяет узнать содержание потенциальному перехватчику. В схеме шифрования предполагаемая информация или сообщение, называемое открытым текстом, зашифровывается с использованием алгоритма шифрования - шифровального текста, генерируемого шифрованием, который может быть прочитан только при расшифровке.
По техническим причинам схема шифрования обычно использует псевдослучайный ключ шифрования, генерируемый алгоритмом.
В принципе, возможно расшифровать сообщение без наличия ключа, но для хорошо продуманной схемы шифрования требуются значительные вычислительные ресурсы и навыки.
Авторизованный получатель может легко расшифровать сообщение с помощью ключа, предоставленного отправителем получателю, но неавторизованные пользователи не могут.
в вашем случае "WhiteRose Decryptor" для безопасного и полного дешифрования всех ваших файлов и данных.
Любым другим путем?
Если вы просматриваете этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в поддержку вашего антивируса.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

WhiteRose выполняет следующие деструктивные команды (удаление тенвых копий файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований, командами:
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System

Список файловых расширений, подвергающихся шифрованию:
 .1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk, .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .ora, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip (433 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаются и не шифруются файлы в следующих директориях: 
Windows
Program Files
$Recycle.Bin
Microsoft

Файлы, связанные с этим Ransomware:
White.exe (WhiteRose.exe)
<random>.exe - случайное название
HOW-TO-RECOVERY-FILES.TXT
WhiteRose Decryptor.exe
Perfect.sys

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Perfect.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-email: TheWhiteRose@Torbox3uiot6wchz.onion
xxxxs://tox.chat/download.html
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 июля 2019:
Пост в Твиттере >>
Расширение .WHITEROSE
Составное расширение: _ENCRYPTED_BY.WHITEROSE
Пример зашифрованого файла: 07A3lpMWHSDcuLLu_ENCRYPTED_BY.WHITEROSE
Результаты анализов: VT + VMR

Вероятно, это старый вариант, известный с марта 2018. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Если всё получится, то здесь будет ссылка..*
Пока рекомендую обращаться в топик поддержки 
или к Майклу Джиллеспи по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WhiteRose)
 Write-up, Topic of Support
 * 

Added later:
Write-up
Write-up

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private