GameOver

GameOver Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project.GameOver.X. На файле написано: Project.GameOver.X.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .gameover

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с полноэкранным GUI. 

Содержание текста о выкупе:
<GameOver Virus>
If you see this banner then all of your files on your harddisk have been encrypted with a very powerful algorithm.
WARNING!: THIS IS NOT SOME STUPID JOKES, EVERYTHING IS REAL ! !
You cannot restore your data by youself and especially decrypt it if you do so you can corrupt and destroy all of your data or even more, also if you try to delete the software your OS will be corrupted.
But if you want to retore at least your PC, you need to do this:
1: Reinstall windows or other OS on your computer
2: Get a better version of your antivirus or get a more powerful antivirus software.
If you want to get back your device do everything as it has been written.
<\GameOver Virus>

Перевод текста на русский язык:
<GameOver Virus>
Если вы видите этот баннер, то все ваши файлы на вашем жестком диске зашифрованы с очень мощным алгоритмом.
ПРЕДУПРЕЖДЕНИЕ! ЭТО НЕ КАКАЯ-ТО ТУПАЯ ШУТКА, ВСЕ РЕАЛЬНО! !
Вы не сможете сами восстановить свои данные и расшифровать их, если вы это сделаете, вы можете повредить и уничтожить все свои данные или даже больше, также если вы попытаетесь удалить программу, ваша ОС будет повреждена.
Но если вы хотите восстановить хотя бы ваш ПК, вам нужно сделать это:
1: Переустановить Windows или другую ОС на вашем компьютере
2: Получить лучшую версию своего антивируса или получите более мощную антивирусную программу.
Если вы хотите вернуть свое устройство, сделайте все, как было написано.
<\GameOver Virus>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ В рассматриваемом примере файлы не были зашифрованы, т.к. не был установлен ключ шифрования. В реальности файлы будут зашифрованы.

➤ Также не было показано никаких контактных и платёжных данных. 

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .accdb, .aes, .ARC, .asc, .asf, .asm, .asx, .avi, .backup, .bak, .bat, .brd, .bundle, .c, .cgm, .cmd, .cpp, .crt, .cs, .csproj, .csr, .csv, .db, .dbf, .dch, .der, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotx, .dwg, .edb, .eml, .flv, .frm, .gif, .gpg, .gz, .htm, .html, .hwp, .Iay6, .ibd, .iso, .jar, .jpeg, .jpg, .js, .jse, .key, .lay, .lbd, .log, .m2ts, .max, .mdf, .mdp, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .ocx, .odg, .odp, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ott, .PAQ, .pas, .pdf, .pern, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pst, .pub, .py, .pyc, .pyd, .pyo, .rar, .raw, .rm, .rpa, .sb2, .sch, .sh, .sin, .sldm, .sldx, .slk, .snt, .sql, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar, .tbk, .tiff, .txt, .uop, .uot, .vb, .vbe, .vbproj, .vbs, .vcd, .vdi, .vdmk, .vmx, .vob, .vsd, .vsdx, .wks, .wma, .wncry, .wrav, .xdata, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (173 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Project.GameOver.X.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-TaRoNiS

TaRoNiS Ransomware
Xorist-TaRoNiS Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.08 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что попало.

© Генеалогия: Xorist >> TraNs, RuSVon > TaRoNiS

К зашифрованным файлам добавляется расширение: .TaRoNiS



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
Atention!! I do not offer for free the decrypt key, for that you have to pay 0.08 BITCOIN.
Step 1: Create an account on www.localbitcoins.com
Step 2: Buy 0.08 BITCOIN
Step 3: Send the amount on this BTC address: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
Step 4: Contact me on this email address taronis@gmx.com with this subject: ID-RESTORE-008TARONISPCID0381723
After this steps you will receive through email the key and a decrypt tutorial.
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Перевод записки на русский язык:
ВНИМАНИЕ!!!
Мне правда жаль сообщить, что все ваши важные файлы зашифрованы.
Если вы хотите восстановить ваши файлы, нужно сделать несколько шагов.
Внимание!! Я не предлагаю бесплатно ключ расшифровки, для этого вам надо заплатить 0.08 BITCOIN.
Шаг 1. Создание учетной записи на www.localbitcoins.com
Шаг 2: Покупайте 0.08 BITCOIN
Шаг 3: Отправьте сумму по этому BTC-адресу: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
Шаг 4: Напишите мне по этому email-адресу taronis@gmx.com с этой темой: ID-RESTORE-008TARONISPCID0381723
После этого вы получите по email ключ и учебник по расшифровке.
Вот еще один список, где вы можете купить биткоин:
https://bitcoin.org/en/exchanges

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: taronis@gmx.com
BTC: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.


Обновление от 25 августа 2018:
Пост на форуме >>
Расширение: .BiTgRoNiS или .SeCuReBlOcK или даже .BiTgRoNiS.SeCuReBlOcK
Записка: HOW TO DECRYPT FILES.txt
Email: bitgronis@gmx.com
BTC: 1GqvZPsfndY2G6cFpDdY5bgShkTThypMhb

➤ Содержание записки: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
Atention!! I do not offer for free the decrypt key, for that you have to pay 0.08 BITCOIN.
Step 1: Create an account on www.localbitcoins.com
Step 2: Buy 0.08 BITCOIN
Step 3: Send the amount on this BTC address: 1GqvZPsfndY2G6cFpDdY5bgShkTThypMhb
Step 4: Contact me on this email address bitgronis@gmx.com with this subject: ID-RESTORE-008BITGRONISPCID0381723
After this steps you will receive through email the key and a decrypt tutorial.
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к thyrex >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Predator

Predator Ransomware
Predator The Cipher v1.0

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: Predator The Cipher v1.0. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .predator

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Your files were encrypted with Predator The Cipher!
Predator The Cipher v1.0
To decrypt your files:
1. Send 100$ to this bitcoin wallet: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Send us email with your machine ID (XXXXXXXXXX) and bitcoin wallet ID: nadwkjk@protonmail.com
Then we would send you back our decipher tool.
ATTENTION!
DO NOT TRY TO DECRYPT OR DELETE YOUR FILES. YOU WILL ONLY MAKE IT WORSE!

Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью Predator The Cipher!
Predator The Cipher v1.0
Чтобы расшифровать ваши файлы:
1. Отправьте 100$ на этот биткотн-кошелек: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Отправьте нам письмо с ID вашей машины (XXXXXXXXXX) и ID биткоин-кошелька: nadwkjk@protonmail.com
Затем мы отправим вам наш инструмент расшифровки.
ВНИМАНИЕ!
НЕ ПРОБУЙТЕ ДЕШИФРОВАТЬ ИЛИ УДАЛИТЬ ВАШИ ФАЙЛЫ. ВЫ СДЕЛАЕТЕ ТОЛЬКО ХУЖЕ!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nadwkjk@protonmail.com
BTC: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Возможно, файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
***
Attention!
Probably, files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Predator)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLite

CryptoLite Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoLite. На файле написано: CryptoLite.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
ALL YOUR FILES HAVE BEEN ENCRYPTED!!!
There's no way to decrypt these files without the decryption key.
To retrieve the deceryption key a payment of 0.5 BC will need to be paid.
INSTRUCTIONS:
*Purchase the bitcoins from https://localbitcoins.com/.
*Transfer the bitcoins to a https://blockchain.info/ Wallet.
*From https://blockchain.info/ transfer the bitcoins to the below address.
*Add a message to the transaction with the following format:
{MAC-ADDRESS_EMAIL} <- ENSURE THIS IS CORRECT
Example:
00:A0:C9:14:C8:29_pwned@gmail.com
Following payment the key will be emailed to you after confimation.
IF YOU MESS UP YOUR MESSAGE FROMAT, YOU WILL NOT RECEIVE THE KEY!
BitCoin Address: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Decryption Key: [***][DECRYPT]

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ !!!
Невозможно расшифровать эти файлы без ключа дешифрования.
Чтобы получить ключ дешифрования, надо заплатить 0.5 BC.
ИНСТРУКЦИИ:
* Купите биткоины с https://localbitcoins.com/.
* Перенесите биткоины в https://blockchain.info/Wallet.
* C https://blockchain.info/ передайте биткоины по указанному ниже адресу.
* Добавьте сообщение в транзакцию в следующем формате:
{MAC-ADDRESS_EMAIL} <- ОБЕСПЕЧИТЬ ЭТО ПРАВИЛЬНО
Пример:
00:A0:С9:14:С8: 29_pwned@gmail.com
После оплаты ключ будет отправлен вам по email после подтверждения.
ЕСЛИ ВЫ СООБЩИТЕ СООБЩЕНИЕ FROMAT, ВЫ НЕ ПОЛУЧИТЕ КЛЮЧ!
Адрес BitCoin: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Ключ дешифрования: [***] [DECRYPT]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoLite.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 00:A0:C9:14:C8:29_pwned@gmail.com - пример в тексте
BTC: 1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD - ранее известен по мошенническим схемам

См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Пример дешифрования файлов

Ключ дешифрования:
GuBlZEpxPFqDAtjNh7c6mKs4Iy9Mrfw2UYvn3ei5HTgaO1dCbz8QXLJk0RVoW
Ссылка на пример в Твиттере >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать.
Смотрите информацию по этой ссылке >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Fly
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.