Если вы не видите здесь изображений, то используйте VPN.

суббота, 3 ноября 2018 г.

FileFuck

FileFuck Ransomware

(фейк-шифровальщик, стиратель, деструктор)
Translation into English


Этот крипто-вымогатель перезаписывает файлы на рабочем столе фразой "All your files were fucked forever by FileFuck! You can not stop us, you idiot :)"

Не предлагает никаких действий, чтобы вернуть файлы. Оригинальное название: FileFuck. На файле написано: FileFuck.exe

© Генеалогия: HiddenTear >> FileFuck

Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных и разноязычных пользователей, что не мешает распространять его по всему миру.

Записка от злоумышленников называется: @READ_IT@.txt

Записка от злоумышленников выступает также экран блокировки. 

Содержание текста:
FileFuck warning
All your files were fucked forever by FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
you not have to look at the
monitor so seriously,
my friend. XD

Перевод на русский язык:
Предупреждение FileFuck
Все ваши файлы трахались навсегда FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
вам не нужно смотреть на монитор так серьезно,
мой друг. XD



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Уплата выкупа, даже если 
в новых версиях появятся условия выкупа, бесполезна! 

Список файловых расширений, подвергающихся перезаписи и повреждению:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileFuck.exe
@READ_IT@.txt
ipaWaVDQGX.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\@READ_IT@.txt
\Desktop\ipaWaVDQGX.exe
\Desktop\BQJUWOYRTO.jpg
\Desktop\BUFZSQPCOH.mp3
\Desktop\DQOFHVHTMG.png
\Desktop\HQJBRDYKDE.docx
\Desktop\HQJBRDYKDE.xlsx

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 2 ноября 2018 г.

MCrypt2018

MCrypt2018 Ransomware 

CRP.Net3 Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные на дисках пользователей с помощью утилиты DiskCryptor, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: CRPDOTNET3 или что попало.

© Генеалогия: предшественники HDDCryptor, Bad Rabbit, MBR-ONI >> MCrypt2018

К зашифрованным файлам добавляется расширение: нет данных, т.к. шифрует весь диск, используя утилиту DiskCryptor.

Внимание! Новые данные, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа выводится перед жертвой на чёрном экране после перезагрузки ПК. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. 

Содержание записки о выкупе:
You have been Hacked, ALL Data Encrypted,Contact For Key
Our Email : mcrypt2018@yandex.com
YourID: [executable name]
Your Hostname: [computer name]
Enter Key :

Перевод записки на русский язык:
Вы взломаны, все данные зашифрованы, контакт для ключа
Наш email: mcrypt2018@yandex.com
Ваш ID: [имя исполняемого файла]
Ваш хост: [имя компьютера]
Введите ключ :



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует легитимную утилиту DiskCryptor для осуществления шифрования. Для выполнения вредоносного файла нужен ручной запуск файла, или он вызывается на выполнение скриптом, который попадает на ПК жертвы обманным путем. В таком случае вредоносу нужно передать аргумент, который используется как пароль для DiskCryptor. Также возможен взлом службы удаленных рабочих столов и ручной запуск MCrypt2018 Ransomware на установку. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dcrypt.exe
dcrypt.sys
myLog.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\myLog.txt

Файлы, связанные с этим Ransomware:
%SystemDrive%/Public/dcapi.dll
%SystemDrive%/Public/dccon.exe
%SystemDrive%/Public/dcinst.exe
%SystemDrive%/Public/dcrypt.exe
%SystemDrive%/Public/dcrypt.sys
%SystemDrive%/Public/mount.exe
%SystemDrive%/Public/netpass.exe
%SystemDrive%/Public/netpass.txt
%SystemDrive%/Public/log_file.txt
%SystemDrive%/Public/netuse.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum

Сетевые подключения и связи:
mcrypt2018@yandex.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as MCrypt2018)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 1 ноября 2018 г.

SymmyWare

SymmyWare Ransomware

SymmiWare Ransomware

(шифровальщик-НЕ-вымогатель, деструктор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем даже не требует выкуп (в записке написано 0 биткоин), чтобы вернуть файлы. Оригинальное название: SymmyWare. На файле написано: что попало (случайное название). Название разработчика: TODO.

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.32725
BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.43938747
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of Win32/Packed.Obsidium.AS
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:Win32/HiddenTear.gen
Symantec -> Downloader, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto, 
TrendMicro -> Ransom_HiddenTear.R002C0DIU20, Ransom.MSIL.SYMMYWARE.AA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnicSymmyWare > 
SymmyWare NextGen

К зашифрованным файлам добавляется расширение: .SYMMYWARE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Выпуск этого шифровальщика пришёлся на 1 ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, если это произойдет.

Записка с требованием выкупа называется: SIMMYWARE.TXT
SymmyWare Ransomware

Содержание записки о выкупе:
*-------=SymmiWare=-------*
All your files was ciphered by Strong algorythm AES-128.
Take your time, no one will be able to decrypt your files without our decryption service.
To decrypt files, pay $ 0 in Bitcoins. If you do not have 0 bitcoins (everyone has it) then go to the site localbitcoins.com and there send to our wallet (which we do not have) and write to the mail simmyware@protonmail.ch to get the key and the decoder.
We advise you not to mess around because you still do not restore their hands.
We've also encrypted all your drives, files on your hard drives and network drives.
AES-128 is the Most reliable military-grade cryptographic algorithm.
There's no way to hack it, not even with a supercomputer.
The file cutter will start in 48 hours.
Don't be stupid and ugly like Patrick.
Any hacking attempts can fuck all of your data and the locker will turn them into pee-pee.
Good luck. Goodbye.
P.S I'm not spreading, and I can't.
P.P.S. The best time to send a letter: after November 25 (while we register the mail), and the fact that we wrote about 48 hours - it was a joke. We do not count down the time until the system is removed.
*-------=SymmiWare=-------*

Перевод записки на русский язык:
* ------- = SymmiWare = ------- *
Все ваши файлы были зашифрованы сильным алгоритмом AES-128.
Не спешите, никто не сможет расшифровать ваши файлы без нашей службы расшифровки.
Чтобы расшифровать файлы, заплатите $ 0 в биткойнах. Если у вас нет 0 биткоинов (у каждого есть), перейдите на сайт localbitcoins.com и отправьте на наш кошелек (которого у нас нет) и напишите на адрес simmyware@protonmail.ch, чтобы получить ключ и декодер.
Мы советуем вам не возиться, т.к. вы все равно не восстановите своими руками.
Мы также зашифровали все ваши диски, файлы на жестких дисках и сетевых дисках.
AES-128 - самый надежный криптографический алгоритм военного класса.
Невозможно взломать его, даже с помощью суперкомпьютера.
Резак файлов включится через 48 часов.
Не будь глупым и вздорным, как Патрик.
Любые попытки взлома могут трахнуть все ваши данные и локер превратит их в пи-пи.
Удачи. Прощай.
P.S Я не распространяю, и я не могу.
P.P.S. Лучшее время для отправки письма: после 25 ноября (пока мы регистрируем почту), и тот факт, что мы писали около 48 часов - это была шутка. Мы не отсчитываем время, когда система не будет удалена.


---
*| Перевод на русский опубликован, как есть, без исправления ошибок и лексики. 



Технические детали

По сообщениям разработчика: никогда не распространялся через RDP, но в этой версии замечено использование утилиты PsExec. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифрует данные, используя следующий порядок действий:
- генерирует пароль
- ищет диски и другие хранители информации
- проброс
- шифрует их с помощью AES-128 (Размер блока 128), дополнительно оставляет сообщение
- проброс
- если есть интернет - он посылает запрос на сайт (И так будет в цикле пока пользователь не включит интернет (если же он выключен))
- стирает пароль
- запускает видео с Youtube
- закрывается

➤ Пытается использовать утилиту PsExec.exe для выполнения команд на удалённых ПК. По данным исследователей, PsExec использовался без админ-прав, то ли из-за ошибки, то ли на пробу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы, базы данных 1С, видео, фото, картинки, сертификаты и прочие файлы. 

Файлы, связанные с этим Ransomware:
SIMMYWARE.TXT
hyBrDFjOidLuty.exe
jisMlDfmBgdeF.exe
watadminsvc.exe
<random>.exe - случайное название
hyBrDFjOidLuty.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\65F3.tmp\6604.bat C:\jisMlDfmBgdeF.exe  - пример
D:\delphi\hyBrDFjOidLuty\hyBrDFjOidLuty\hyBrDFjOidLuty\obj\x86\Release\hyBrDFjOidLuty.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-host: fairybreathes.6te.net
Email: simmyware@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>  VT на PsExec >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>  AR>>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 сентября 2020:
Расширение: .SYMMYWARE
Записка: SYMMYWARE.TXT
Добавляется в Автозагрузку Windows: C:\Users\Admin\AppData\Roaming\Microsoft\Word\STARTUP\SYMMYWARE.TXT
Email: simmyware@protonmail.ch
URL: fairybreathes.6te.net
Файлы: 
ky.exe
%TEMP%\PsExec.exe
%TEMP%\hyBrDFjOidLuty.exe
Результаты анализов: TG + VT + IA + AR + VMR + JSB
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32725
BitDefender -> Trojan.GenericKD.43938747
ESET-NOD32 -> A Variant Of Win32/Packed.Obsidium.AS
Malwarebytes -> Ransom.HiddenTear
McAfee -> Generic-FAWW!80143152971E
Rising -> Trojan.Generic@ML.94 (RDML:qiz***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_HiddenTear.R002C0DIU20





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>
 Thanks: 
 gnation
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Desktop, Ourmine

Desktop Ransomware

Ourmine Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Desktop Ransomware. На файле написано: Desktop Ransomware.exe. Написан на Autohit v.3. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется приставка: Lock.

Примеры зашифрованных файлов:
Lock.Ihhj7L6.docx
Lock.JfK4PzqcH7ER.csv
Lock.FsWV1eA3OkafmtB.xlsx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Welcome in Desktop Ransomware
Oooooops All your files on the desktop are encrypted To decrypt files enter PIN
see you soon
Enter PIN LHNIWSJ <- (PC name)
PIN - [       ]
[Decryption]
[Get PIN]

Перевод записки на русский язык:
Добро пожаловать в Desktop Ransomware
Ууупс Все ваши файлы на рабочем столе зашифрованы. Для дешифрования файлов введите PIN-код
до скорой встречи
Введите PIN LHNIWSJ <- (имя ПК)
PIN - [       ]
[Decryption]
[Get PIN]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



 Нажатие на кнопку "Get PIN" окрывает страницу в Facebook xxxxs://www.facebook.com/profile.php?id=100027091457754
Уже недоступна. 

➤ Код разблокировки: 00114455220033669988554477++//

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Desktop Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.facebook.com/profile.php?id=100027091457754
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13-14 мая 2019:
Пост в Твиттере >>
Самоназвание: OURMINE
Вместо расширения используется приставка Lock.
Написан на Autohit v.3. 
Email: waoeha@gmail.com
Надпись на изображении, встающем обоями Рабочего стола:
YOUR FILES ARE ALL GONE
[!] HACKED BY OURMINE [!]
EMAIL US 
WAOEHA@GMAIL.COM
YOUR SERCURITY IS LOW — 
TO GET YOUR FILES BACK
Файл EXE: Academics.pdf.exe
Результаты анализов: VT + VMR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as *** )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 Cyber Security Gruja
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vendetta

Vendetta Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Vendetta. На файле написано: Defender, Windows Defender и enc.exeФальш-копирайт: MICROSOFT Corporation © 2021
© Генеалогия: DecryptFox > Vendetta 

К зашифрованным файлам добавляются расширения: 
.vendetta
.VENDETTA
.vendetta2

Зашифрованные файлы переименовываются до неузнаваемости. 
Пример зашифрованного файла:
01-3F-F3-3C-6B-E0-16-F1-70-BA-45-23-FD-5C-DF-0F.vendetta
01-3F-F3-3C-6B-E0-16-F1-70-BA-45-23-FD-5C-DF-0F.VENDETTA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
How to decrypt files.html
how_to_decrypt_files.txt

Содержание записки о выкупе:
All your filed have been encrypted!
All your filed have been encrypted due to a security problem with your PC. If you want to restore them, write us to the email DecryptFox@protonmail.com
Write this ID in the title of your message [redacted 32 lowercase hex]---[redacted different 32 lowercase hex]
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. the total size of files must be less than 10Mb (non archived), and the files should not contain valuable information. (databases, backups, large excel sheets, etc.)
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email DecryptFox@protonmail.com
Напишите этот идентификатор в заголовке вашего сообщения [32 строчные HEX] --- [разные 32 строчные буквы]
Вы должны заплатить за дешифрование в биткоbнах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. общий размер файлов должен быть меньше 10 МБ (без архивирования), и файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Внимание!
Не переименовывать зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует сервис api.ipify.org для определения IP компьютера. 
Отправляет информацию с помощью Telegram.

➤ Использует следующий белый список.

➤ Удивил следующим показателем: RSA-5008

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
enc.exe
How to decrypt files.html
how_to_decrypt_files.txt
<random>.exe - случайное название
log.html
processes.csv
_enc.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
p:\read\st3\bin\release\_enc.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DecryptFox@protonmail.com
http://api.ipify.org/
https://api.telegram.org/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Только перед этим НЕ перезагружайте систему!!!
Attention!
Files can be decrypted! DO NOT restart the system !!!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Vendetta)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *