Nog4yH4n

Nog4yH4n Ransomware
Nog4yH4n Project Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Nog4yH4n Project. На файле написано: hidden-tear.exe. Разработчик: Nog4yH4n (NogayHan) из Турции. 

© Генеалогия: HiddenTear >> Nog4yH4n Project

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо находится в разработке. 

Записка с требованием выкупа называется: HACKED N0G4YH4N.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or food to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... Nog4yH4n Project')

Перевод записки на русский язык:
Этот компьютер взломан
Твои личные файлы зашифрованы. Отправь мне BTC или еду, чтобы получить код расшифровки.
После этого ты сможешь снова увидеть свои любимые файлы.
С любовью ... Nog4yH4n Project ')

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HACKED N0G4YH4N.txt
hidden-tear.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxx://vipturkiye.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Qinynore

Qinynore Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,682 BTC (400 €), чтобы вернуть файлы. Оригинальное название: Qinynore Ransomware. На файле написано: Qinynore Ransomware.exe.

© Генеалогия: HiddenTear >> Qinynore

Изображение, используемое шифровальшиком

К зашифрованным файлам добавляется расширение: .anonymous


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOU_MUST_READ_ME.rtf

Содержание записки о выкупе:
Files has been encrypted with Qinynore ransomware, a Russian Hacker organization in association with anonymous.
Send me some bitcoins or say goodbye to your files
Note: DonA't try to be smart, if you are seeing this it means that even if your antivirus detect the virus the files are already encryped.
Even If you canA't see time is still counting, do not forget, 5 hours to pay since you got infected

Перевод записки на русский язык:
Файлы были зашифрованы Qinynore ransomware, российской хакерской организации, связанной с anonymous.
Пришлите мне немного биткоинов или попрощайтесь со своими файлами
Примечание. Не пытайтесь быть умным, если вы видите это, значит, даже если ваш антивирус обнаружит вирус, файлы уже зашифрованы.
Даже если вы не можете видеть, что время все отсчитывается, не забывайте, 5 часов на уплату, т.к. вы инфицированы.

Запиской с требованием выкупа также выступает изображение lol.jpg, заменяющее обои Рабочего стола.

Найдено два разных варианта изображения с одинаковой суммой выкупа. 

Текст с первого скриншота:
NOTE: IF YOU TRY TO SHUTDOWN OR REMOVE THIS MALWARE
FROM YOUR PC YOU WON T BE ABLE TO RECOVER YOUR FILES!!!
WE ARE ANONYMOUS.
WE ARE LEGION.
WE DO NOT FORGET.
WE DO NOT FORGIVE.
EXPECT US.
YOU HAVE 5 HOURS TO PAY 0,68266375 BITCOINS(400€)
TO THIS ADRESS:  940927654672984
OR YOU WON'T GET YOUR FILES BACK

Текст со второго скриншота:
We are Anonymous.
We Are Legion.
We do not forget.
We do not forgive.
Expect us.
You have 48 hours to pay
0.68266375 Bitcoins = 400 € to this adress:
Or you won't get your files back.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.bat, .doc, .docx, .gif, .html, .jpg, .pdf, .txt, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOU_MUST_READ_ME.rtf  - записка о выкупе
lol.jpg - изображение, заменяющее обои Рабочего стола
Qinynore Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Информация подсказана по этой ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Giyotin

Giyotin Ransomware 

Guillotine Ransomware

(фейк-шифровальщик)

Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $60 в BTC, чтобы вернуть файлы. Оригинальное название: Giyotin Fidye (по-рус.: Гильотина выкуп, по-англ.: Guillotine Ransomware) и MyRansom. На файле написано: MyRansom.exe. Разработчик: bytar.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Примерно такое изображение используется в требованиях о выкупе

К незашифрованным файлам никакое расширение не добавляется. Вероятно находится в разработке. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки или изображение, заменяющее обои на Рабочем столе:

Содержание текста о выкупе:
OOPS, GİYOTİN FİDYE YAZILIMININ KURBANI OLDUNUZ
---
Bilgisayarınız ve Tüm Önemli Dosyalarınız Şifrelendi. Dosyalarınızı Geri Alıp Bilgisayarınıza Tamamen Erişim Sağlayabilmek İçin Aşağıdaki Adımları Takip Edin
1-İnternet Üzerinden Herhangi Bir Website veya Server Yardımıyla Bİr Bitcoin Hesabı ve Cüzdanı Oluşturun
2-Bİtcoin Hesabınız Üzerinden Aşağıda Belirtilen Adreslerden Herhangi Birine 60$(Dolar) Değerinde Bitcoin Gönderin
3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
3-Ödeme İşleminden Sonra anony46NcRyptr708onion@protonmail.ch adresine "HACKED" Metni İçeren Bir Mesaj Bırakın
ANCAK FAZLA ZAMANINIZ YOK 12 SAAT İÇERİSİNDE BU İŞLEMLERİ YAPMADIĞINIZ TAKDİRDE BİLGİSAYARINIZ KALICI OLARAK ÇÖKECEKTİR !!!!

Перевод текста на русский язык:
УПС, ВЫ СТАЛИ ЖЕРТВОЙ ПРОГРАММЫ GIOTINE RANSOMWARE
---
Ваш компьютер и все важные файлы зашифрованы. Выполните следующие действия, чтобы вернуть свои файлы и получить полный доступ к вашему компьютеру.
1 - Создайте учетную запись и биткоин-кошелек с помощью любой веб-справки в Интернете
2 - Отправьте биткоины на сумму 60 долларов на любой из перечисленных ниже адресов
3bszcdjblvlks7r5t2cfcefsuj3cqxa82
3juu6ukwcyvgjhqxznwpc8h3oe87dssedn
3-После оплаты, отправьте письмо с темой "HACKED" на anony46NcRyptr708onion@protonmail.ch
НО ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ ЗА 12 ЧАСОВ, ЕСЛИ ВЫ НЕ СДЕЛАЕТЕ ЭТИ ДЕЙСТВИЯ, ВАШ ПК ОСТАНЕТСЯ НАВСЕГДА ЗАШИФРОВАН !!!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным исследователей, этот вымогатель только показывает требования о выкупе и больше ничего не делает.

Список файловых расширений, подвергающихся шифрованию:
Пока файлы не шифруются. 
После доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MyRansom.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: anony46NcRyptr708onion@protonmail.ch
BTC: 3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IT.Books

IT.Books Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IT.Books. На файле написано:  IT.Books, IT.Books.exe, IT-eBooks, Free Download IT eBooks.

© Генеалогия: HiddenTear + Jigsaw GUI >> IT.Books

К зашифрованным файлам добавляется расширение: .fucked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ__IT.txt

Содержание записки: 
Files has been encrypted with strong KEY
Send payment to our bitcoin address
you can visit google or localbitcoin to buy bitcoin.
BTC Address: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
After payment click contact us you will recieve Decryption KEY in less than 1 hour.

Перевод на русский язык: 
Файлы были зашифрованы с сильным ключом
Отправьте платеж на наш биткоин-адрес
вы можете посетить google или localbitcoin, чтобы купить биткоин.
BTC Адрес: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
После оплаты нажмите на ссылку, вы получите ключ расшифровки менее чем за 1 час.

Запиской с требованием выкупа также выступает экран блокировки, стиль которого заимствован у Jigsaw Ransomware. 

Содержание текста с экрана о выкупе:
I want to play a game with you. Let me explain the rules:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
***

Перевод текста на русский язык:
Я хочу сыграть с тобой. Позволь объяснить правила:
Твои личные файлы удаляются. Твои фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если ты не согласишься.
Я уже зашифровал твои личные файлы, ты не получишь к ним доступ.
***

Также есть заменяются обои Рабочего стола, поверх которых и встаёт экран блокировки.

Содержание текста с обоев:
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
Follow the instruction to get the Decryption key!

Перевод на русский язык: 
ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН!
Ваши документы, фото, базы данных и другие важные файлы блокированы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Следуйте инструкциям, чтобы получить ключ дешифрования!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется следующая иконка для исполняемого файла вымогателя:

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ__IT.txt
IT.Books.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от Cyber Security GrujaRS

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Viro Botnet

ViroBotnet Ransomware

"Viro Botnet" + Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот модульный вредонос включает в себя крипто-вымогатель, который шифрует данные пользователей с помощью RSA, а затем требует выкуп в 500€ в BTC, чтобы вернуть файлы. Оригинальное название вредоноса: Viro Botnet. Название exe-файла шифровальщика: Office Updater. На этом файле написано: Office Updater.exe и Office updater background task.
✋ Прочтите также "Примечание №1" после статьи. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Vos fichiers personnels ont été chiffrés. Lisez les instructions du logiciel.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы. Прочтите инструкции по программе.

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Vos fichiers personnels ont été chiffré.
Pour les déchiffrer, envoyez 500€ de bitcoins à cette adresse :
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Toute tentative de destruction de ce logiciel entraînera la destruction de la clé de déchiffrement.
Toute tentative de déchiffrement avec une clé erronée entraînera la perte définitive de vos fichiers.
Vous avez 72 heures pour effectuer le paiement. Après quoi, la clé de déchiffrement sera supprimée.
Clé de déchiffrement : [...]
[Déchiffrer mes fichiers]

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы.
Для их дешифровки пришли биткоины на 500€ на этот адрес:
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Любая попытка уничтожить эту программу уничтожит ключ дешифрования.
Любая попытка дешифровки с неправильным ключом повредит ваши файлы.
У вас есть 72 часа для оплаты. После этого ключ дешифрования будет удален.
Ключ дешифрования: [...]
Расшифровать мои файлы

Технические детали

Если это является частью модульного вредоносного ПО и включает модуль Office Updater.exe, то видимо планируется распространять это через перепакованные и портативные дистрибутивы новых версий MS Office, распространяемых потому бесплатно. Заранее важно знать, чем грозит загрузка и использование таких незаконно-бесплатных программ. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Microsoft Outlook для отправки спам-писем каждому пользователю из списка контактов. При этом вредонос отправит копию самого себя или вредоносный файл, загруженный с его C&C-сервера.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .mdb, .odt, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sin, .swp, .txt, .xls, .xlsx, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
README.txt
Office Updater.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

Примечание №1
  Главное предназначение вредоноса под названием "Viro Botnet", это организация ботнета, т.е. создание сети заражённых вредоносным ПО компьютеров (ботов), через которую киберпреступники могут удалённо управлять заражёнными машинами, используя их для рассылки спама, анонимного доступа, кражи информации и кибершпионажа; иначе: зомби-сеть. Модуль, отвечающий за шифрование, призван по команде или автоматически причинять ещё больший ущерб. К сожалению, более подробную информацию мы не получили. 
  Но ведь пострадавшему пользователю ПК, находящемуся в истерике или на грани нервного срыва, неважно, как вымогатель устроен внутри (в целом, модульно, построчно и пр.). Его атаковали — теперь он должен понять, кто атаковал, найти информацию (пусть даже небольшую), если у него есть интернет-доступ и оценить ущерб, чтобы принять решение, что ему делать дальше. 
  Если пострадавший не найдёт эту информацию, он может пострадать ещё больше (заплатить выкуп и не вернуть данные, биться в истерике по поводу потери важной информации, потерять работу и пр. пр.). 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.