Rektware

Rektware Ransomware

PRZT Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: rektware. На файле написано: нет данных. Возможно, находится в разработке. Написан на AutoIt.
---
Обнаружение: 
DrWeb -> Trojan.Encoder.30003, Trojan.MulDrop6.37395
BitDefender -> Trojan.Ransom.Rektware.A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQF, Win32/Filecoder.G

Malwarebytes -> Ransom.Rektware
Sophos AV -> Mal/AutoIt-AK
Symantec -> Downloader, Trojan Horse
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Gen.Ajcb

TrendMicro -> Ransom_KILLRABBIT.THAOOAAH
---
© Генеалогия: Rektware > новые варианты после статьи

Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется случайное расширение, например:  
.CQScSFy
.2PWo3ja

Вместе с переименованием файлы получают номера. 

Так выглядят зашифрованные файлы

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл FIXPRZT.PRZ

Содержание записки о выкупе:
ContactID: MG9r9awS9V Send E-mail: rektware@inbox.ru
(FreeDecryptAllYourFiles)

Перевод записки на русский язык:
ContactID: MG9r9awS9V отправь на E-mail: rektware@inbox.ru
(Бесплатное дешифрование всех твоих файлов)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FIXPRZT.PRZ
PRZT1.PRZ
PRZT2.PRZ
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rektware@inbox.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 сентября 2018: 

Сообщение >>

Расширение: .xd

Записка: не найдена

Список файловых расширений, подвергающихся шифрованию:

.avi, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .ini, .jpg, .m4a, .mkv, .mp3, .mp4, .odp, .ods, .odt, .one, .ots, .pdf, .png, .pps, .ppt, .pptx, .rtf, .swf, .vssx, .wav, .xls, .xlsx

URL: xxxx://rektware20.temp.swtest.ru

Файл: Ransomware.exe

Результаты анализов: VT + HA + VMR + 🎥

Вариант от 13 декабря 2020: 

Сообщение >>

Расширение: .HaHaHaHaHaHaHaHa

Файл: Ransomware.exe

Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Rektware)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LIGMA

LIGMA Ransomware

(тест-шифровальщик, деструктор)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим СВС), а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: LIGMA. На файле написано: LIGMA.exe. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ForgiveME


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа-начале сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. Появляется после повреждения MBR и перезагрузки. 

Текст из кода

На самом деле на экране появляется ярко-зелёный текст на чёрном фоне.

Скриншот-реконструкция

Содержание текста:
YOUR PC LIGMA BALLS xD
This PC is dead because you did n't follow the rules.
Your PC will never work again.
NOTE: Even if you fix the MBR your Your PC Is Dead.
Entire Registry is Fucked and your files are infected.

Перевод на русский язык:
ТВОЙ ПК LIGMA BALLS xD
Этот компьютер мертв, т.к. ты не соблюдал правила.
Твой ПК больше никогда не будет работать.
ПРИМЕЧАНИЕ. Даже если ты исправишь MBR, твой ПК мертв.
Весь реестр трахнут и твои файлы заражены.

Другое сообщение:
Your Computer Got FUCKED By LIGMA!

Технические детали

Нет данных о пострадавших, потому, вероятно, не распространяется как обычный ransomware. Исходных код выложен на Github. Предназначен для Windows 7 x86. Требуется наличие в системе .NET Framework 4.7.1 (прилагается разработчиком). Разработчик предупреждает желающих протестировать шифровальщик о последствиях. Дешифровщик не прилагается.  

Если кто-то захочет модифицировать LIGMA для своих целей, то может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Производит следующие действия: 
➤ Модифицирует системную конфигурацию, скрывает пункты меню, элементы Панели управления и т.д.
➤ Проигрывает системные звуки, передвигает курсор как попало
➤ Отключает UAC, редактор реестра, ключевые системные инструменты.
➤ Дроппирует файл Payloads.dll в C:\WinWOW32\
➤ Перед BSoD шифрует файлы с AES-256 в режиме СВС.
➤ Создаёт файл work.bat и запускает процесс в скрытом окне.
➤ Принудительно вызывает BSoD. Записывает 512 байт в MBR и портит таблицу разделов. 
➤ Сообщает, что ПК безнадёжно испорчен. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1st, .3dm, .3mf, .600, .602, .7z, .7zip, .a, .aaf, .abw, .accdb, .acl, .aep, .aepx, .aet, .ahk, .ai, .aps, .as, .asc, .asp, .aspx, .assets, .asx, .avi, .bas, .bep, .bmp, .c, .cbf, .cbfx, .cer, .cfa, .class, .config, .contact, .cpp, .cs, .css, .csv, .dat, .db, .dbf,  .deb, .dic, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dvi, .dwg,  .dxf, .ebf, .ebfx, .ebuild, .efx, .eps, .ev3, .ev3, .exp, .fits, .fla, .flv, .fnt, .gif, .go, .gz, .gz, .h, .hmg, .htm, .html, .ico, .idml, .ilk, .inc, .indb, .indd, .indl, .indt, .inx, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .ldr, .lic, .loc, .lock, .log, .lxf, .m3u8, .m4a, .max, .mcfunction,  .mcmeta, .md2, .md3, .md4, .md5, .mdb,  .mkv, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .nc, .ncb, .nut, .obj, .object, .odf, .odp, .odt, .ogg, .otf, .pdb, .pdf, .pek, .pez, .php, .php?, .piv, .pkf, .pl, .plb, .plg, .pm, .pmd, .png, .pot, .potm, .potx, .pov, .ppj, .pps, .ppt, .pptm, .pptx, .prefs, .prel, .prfpset, .prproj, .prsl, .ps, .ps, .ps, .psc, .psd, .psm1, .py, .python, .rar, .raw, .rb, .rbt, .rc, .res, .resource, .resx, .rex, .rtf, .ru, .rxe, .s3, .sdf, .sdl, .ses, .silo, .sln, .sql,  .sti, .svg, .swf, .swift, .tab, .tar.gz, .tdf , .tif, .tiff, .tpk, .txt, .udo, .umod, .vb, .vcf, .vob, .w3d, .war, .webp, .wmv, .wpd, .wps, .wtv, .wve, .x, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmp, .xpl, .xps, .xqx, .xsl-fo, .z, .zip (225 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LIGMA.exe
Payloads.dll
work.bat
mbr.bin
<random>.exe - случайное название

Расположения:
C:\WinWOW32\Payloads.dll
C:\WinWOW32\work.bat
C:\WinWOW32\mbr.bin
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Файлы проектов:
Payloads.pdb
LIGMA.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Таблицу разделов также можно восстановить. 
*

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov,  Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KCTF Locker

KCTF Locker Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KCTF Locker. На файле написано: Ransomware.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .DWG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на японских и англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
あなたのデータは暗号化されました。
復元したければ、以下に10BTCキムってください

Перевод записки на русский язык:
Ваши данные были зашифрованы.
Если вы хотите вернуть, заплатите 10 BTC ниже

Содержание текста:
This is program is written as a part of CTF task. But it can be harmful for your computer. Choose Cancel to exit. If you are OK, press OK.
このプログラムはCTFの一部ですが、お使いの PC に害を与える可能性があります。実行を続行しますか

Перевод записки на русский язык:
Это программа написана как часть задачи CTF. Но это может быть вредно для вашего компьютера. Нажмите "Отмена" для выхода. Если всё ОК, нажмите OK.
Эта программа часть CTF, но она может нанести вред вашему ПК. Вы хотите продолжить работу?

На файле написано:
This file is a part of a CTF (security competition), this is not a real malware.

Перевод на русский язык:

Этот файл часть CTF (конкурс безопасности), это не реальный вредонос.

*| CTF (Capture the flag) — это командная игра, главной целью которой является захват "флага" соперника.

Технические детали

Распространяется в определенной среде пользователей, как утверждается для участия в конкурсе. Короче: очередная "обезьяна с гранатой".   🙊💣

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Suri

Suri Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Suri. На файле написано: Suri.exe

© Генеалогия: Stupid (FTSCoder) >> Suri

К зашифрованным файлам добавляется расширение: .SLAV


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на итальянских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, диалоговое окно и изображение, заменяющее обои.

Содержание записки о выкупе:
O no, tutti i tuoi file personali sono stati cryptati :(
Come faccio a decryptarli?
---
Ciao utente,
tutti i tuoi file personali sono stati cryptati.Non si toma piu indietro ormai.
Riawiando o altro non risolvi nulla. Ora forse ti chiederai come fare.
Semplice! Invia una somma di 100 Euro in bitcoin all'indirizzo sottostante.
Tgliendomi condannerai tutti i tuoi file.
Perche ? Solo io sono in grado di decryptare tutti tuoi file e solo io ho la
chiave pubblica.
Dopo aver pagati che succede ?
Tutti i tuoi file personali verrano decryptati e io mi auto elimino.
---
Non ho 100 Euro e rivoglio i miei file
Indirizzo BitCoin
File cryptati con successo! 
---
Hai 360 minuti
360 minuti rimanenti
360 = 60 H
[Quali file sono stati cryptati ?]
[Ho pagato !Rivoglio i miei file!]
 Bitcoin?

Перевод записки на русский язык:
О нет, все твои личные файлы были зашифрованы :(
Как я могу их расшифровать?
---
Привет, пользователь,
все твои личные файлы зашифрованы. Теперь ты не можешь их вернуть.
Перезапуск или больше ты ничего не решишь. Может теперь тебе будет интересно, как это сделать.
Просто! Отправь сумму 100 евро в биткоинах по указанному ниже адресу.
Потом ты сможешь вернуть все свои файлы.
Почему? Только я могу расшифровать все твои файлы, и только у меня есть открытый ключ.
Что быдет после оплаты?
Все твои личные файлы будут расшифрованы, а программа автоудалится.
---
У меня нет 100 евро, но я хочу вернуть свои файлы
Адрес BitCoin
Файл успешно зашифрован!
---
У вас есть 360 минут
Осталось: 360 минут
360 = 60 H
[Какие файлы были зашифрованы?]
[Я заплатил, я хочу вернуть свои файлы!]
  Bitcoin?

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EOEO

EOEO Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: . Написан на языке AutoIt. 

© Генеалогия: AutoIt ransomware >> EOEO

Этимология названия:
EOEO - название альбома корейской популярной молодёжной группы. 

К зашифрованным файлам добавляется расширение: .eoeo

Шифрует даже зашифрованные файлы, потому расширение может добавляться к уже зашифрованным файлам 7-8 или даже много раз: file_name.eoeo.eoeo.eoeo.eoeo.eoeo.eoeo.eoeo 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.lol

Содержание записки о выкупе:
в файле нет текста

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Шифрует всё подряд. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Ключ шифрования жёстко закодирован. 

Файлы, связанные с этим Ransomware:
Readme.lol
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> 
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as EOEO)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.