DecService

DecService Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:
=================================================
!!! ALL FILES HAS BEN ENCRYPTED !!!
=================================================
We are crypted all your important database and document Military Grade AES-512 Encryption
Without key impossible to decryption
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email.
Best Regards
e-mail : dec.service@protonmail.com

Перевод записки на русский язык:
=================================================
!!! ВСЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ !!!
=================================================
Мы зашифровали всю вашу важную базу данных и документ Военным шифрованием AES-512
Без ключа невозможно расшифровать
Я сохранил зашифрованные данные на вашем жестком диске.
Если вы хотите вернуть свои данные, пришлите мне email.
С уважением
e-mail: dec.service@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
текстовый файл
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dec.service@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lucky

Lucky Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные Linux-серверов с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: Lucky. На файле написано: нет данных.

© Генеалогия: Satan Cryptor >> Lucky >> Lucky-Chinese

К зашифрованным файлам добавляется расширение: .lucky

Зашифрованные файлы переименовываются по шаблону:
[<email_ransom>]<original_file>.<random_chars>.lucky

Пример зашифрованного файла:
[nmare@cock.li]MyDocument.txt.mno9qJQiAvwH8mnV.lucky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые сообщения поступили от пострадавших из Японии и Китая. 

Записка с требованием выкупа называется: _How_To_Decrypt_My_File_.txt

Содержание записки о выкупе:
I am sorry to tell you.
Some files has crypted
if you want your files back , send 1 bitcoin to my wallet
my wallet address : 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
If you have any questions, please contact us.
Email:[nmare@cock.li]

Перевод записки на русский язык:
Мне жаль говорить вам.
Некоторые файлы шифруются
если вы хотите вернуть свои файлы, отправьте 1 биткоин на мой кошелек
мой кошелек адрес: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Если у вас есть вопросы, контакт с нами.
E-mail: [nmare@cock.li]


Используется motd, для вывода сообщения. 

Технические детали

Для распространения использует ряд известных уязвимостей: в JBoss, Tomcat, Weblogic, Apache и Windows. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:

.bak, .cer, .csv, .db, .dmp, .doc, .gz, .ldf, .mdf, .myd, .myi, .pdf, .pem, .pfx, .ppt, .psd, .rtf , .sql, .tar, .txt, .vdi, .vmdk, .vmx, .xls, .zip (26 расширений).

Это документы MS Office, PDF, текстовые файлы, базы данных, сертификаты, архивы и пр.

Исключаемые директории:
/bin/
/boot/
/sbin/
/tmp/
/dev/
/etc/

/lib/

Файлы, связанные с этим Ransomware:
_How_To_Decrypt_My_File_.txt
fast.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nmare@cock.li
BTC: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as Lucky)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 xiaopao❥
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Delphimorix!

Delphimorix! Ransomware

DelphiMorix Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные с помощью RC6, а затем требует нереальный выкуп в 101.5 BTC BTC, чтобы вернуть файлы. По всей видимости, это такая опасная шутка. Оригинальное название: DelphiMorix и Delphimorix!. На файле написано: Project1.exe. Написан на Borland Delphi 7.

© Генеалогия: InducVirus > Delphimorix
© Генеалогия: родство подтверждено сервисом Intezer Analyze >>

К зашифрованным файлам добавляется расширение: 
.DeLpHiMoRiX!@@@@_@@_@_2018_@@@_@_@_@@@

В другом варианте используется расширение: .449043


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя найден во второй половине ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока он только представлен на форумах кибер-подполья и массово не распространяется. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Delphimorix! Ransomware
All your files have been encrypted with Delphimorix!
Encryption algorythm a RC6, safe and fast algortythm!
Nobody, you not recover your files without our decryption service.
Its a ransomware, coded with Borland Delphi 7.
Ransomware tactic - decrypt all your files quickly and easily before paying to our Bitcoin wallet.
Wallet: qXS2948jf9d8ls0s8JS0a8djhSo - 101.5BTC (10 billion dollars)
Before paying contact with our mail:
incognitoman@protonmail.com

[Okay, please close]

Перевод записки на русский язык:
Delphimorix! Ransomware
Все ваши файлы были зашифрованы Delphimorix!
Алгоритм шифрования RC6, безопасный и быстрый алгоритм!
Никто, вы не восстановите свои файлы без нашей службы дешифровки.
Это Ransomware, написанный с Borland Delphi 7.
Ransomware тактика - дешифровать все ваши файлы быстро и легко, прежде заплатить на наш биткоин-кошелек.
Кошелек: qXS2948jf9d8ls0s8JS0a8djhSo - 101.5BTC (10 миллиардов долларов)
Прежде чем оплатить контакт с нашей почтой:
incognitoman@protonmail.com
[Хорошо, закрыть]

Кажется есть также текстовая записка: delphimorix_ransom_note.txt

Технические детали

Вероятно, пока массово не распространяется и представлен лишь на форумах кибер-подполья. 
После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Project1.exe
Decrypt.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: incognitoman@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>  +HA>>
𝚺  VirusTotal анализ >>  +VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

InducVirus Ransomware - ноябрь 2018
Delphimorix! Ransomware - ноябрь 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 ноября:
Пост в Твиттере: S!Ri, Michael Gillespie
Самоназвание версии: Delphimorix! Red
Расширение: .demonslay335_you_cannot_decrypt_me!

Расширение является ответом Майклу Джиллеспи, который сообщил в Твиттере, что можно расшифровать файлы, зашифрованные вчерашней версией Delphimorix!
Информатором выступает экран блокировки и текстовый файл Decrypt.txt с аналогичным содержанием. 

Email: siniyzabor@protonmail.com
Сумма выкупа: 999999.5 BTC
Файл: dm.exe
Результаты анализов: VT


Обновление от 23 ноября 2018:
Пост в Твиттере >>

Самоназвание версии: DelphiMorix! Green

Расширение: .malwarehunterteam

Файл: s0d.exe

Записка: Decrypt.txt

Email: ya_chainik!@protonmail.com

Результаты анализов: VT + HA

➤ Содержание записки:

All your files have been encrypted with Delphimorix!

Ansi based on Dropped File (Decrypt.txt)

All your files have been encrypted with Delphimorix!

Encryption algorythm a RC6, safe and fast algortythm!

And: RC6 encrypts with RC5, RC5 encrypts with IDEA!

Nobody, you can't recover your files without our decryption service.

Its a ransomware, coded with Borland Delphi 7.

Ransomware tactic - decrypt all your files quickly and easily before paying to our Bitcoin wallet.

Wallet: jhdshuidshhdhifsofjsf - 999999.5 BTC (99999999999999999 triillion dollars)

Before paying contact with our mail: ya_chainik!@protonmail.com

Don't close the window, or you don't decrypt FOREVER!

Следующие изображения демонстрируют то, что происходит после ввода ключа и запуска процесса дешифрования. 

  

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware (ID as InducVirus)
 Write-up, Topic of Support
 * 

 Thanks: 
 Georg Nation, Marcelo Rivero, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IEncrypt

IEncrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IEncrypt. На файле написано: IEncrypt и IEncrypt.dll (отсюда его название). Фальш-копирайт: Microgaming, Free Audio Converter и прочее. Написан на AutoIt v3. 

Обнаружения: 
DrWeb -> Trojan.Encoder.26780
BitDefender -> Trojan.GenericKD.31364016
ALYac -> Trojan.Ransom.BitPaymer
Malwarebytes -> Ransom.FileLocker
Kaspersky -> Trojan-Banker.Win32.Emotet.brcl

© Генеалогия: Bitpaymer > Streamer ? > IEncrypt

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: .<PCname_of_company>

Иногда буквы меняются на похожие цифры и символы: 

"o" на 0

"i" на 1

"e" на 3

Примеры таких замен:

company - c0mpany

next - n3xt

В представленном примере была атакована компания KRAUSS-MAFFEI (Германия) и использовано имя ПК. Таким образом расширение на файлах было дано по имени ПК: .kraussmfz

В другой компании и на других ПК используются другие расширения. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на первую половину ноября, новый экземпляр попался во второй половине ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа создается на каждый зашифрованный файл, использует название зашифрованного ПК компании и оригинальное название файла, прибавляя к нему .kraussmfz_readme.txt

Шаблон записки: original_filename.PCname_readme.txt

Пример записок для зашифрованных файлов: 
MyDocument.doc.kraussmfz_readme.txt
Penguins.jpg.kraussmfz_readme.txt

Содержание записки о выкупе:
Hello KRAUSS-MAFFEI,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM to get the ransom amount.
Please, use your company name as the email subject.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***

Перевод записки на русский язык:
Привет KRAUSS-MAFFEI,
Ваша сеть была взломана и зашифрована.
В Интернете нет бесплатной программы для дешифрования.
Email нам на SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM чтобы получить сумму выкупа.
Используйте название своей компании в качестве темы email.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Base64 в записке представляет собой BLOB-объект (CryptoAPI) с AES-256 ключом, зашифрованным RSA-512.

➤ Удаляет теневые копии файлов.
Пытается получить доступ к сетевым ресурсам. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IEncrypt.dll
_ReadMe_.txt.kraussmfz_readme
ARP.EXE
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sarah.barrick@protonmail.com, linda.hartley@tutanota.com
Отправка запросов:
1.56.168.192.in-addr.arpa
10.56.168.192.in-addr.arpa
22.0.0.224.in-addr.arpa
252.0.0.224.in-addr.arpa
255.56.168.192.in-addr.arpa
8.8.8.8.in-addr.arpa
igmp.mcast.net 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ  ANY.RUN анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitpaymer Ransomware - июль 2017 - январь 2019

Bitpaymer NextGen - июнь-июль 2018

Streamer Ransomware - октябрь 2018

IEncrypt Ransomware - ноябрь 2018 - сентябрь 2019

DoppelPaymer Ransomware - июль 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория. Ранний образец от 12 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: США
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
➤ Содержание ранней записки:
Hello [redacted],
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:[redacted 12 alphanum]
KEY:[redacted 0x20C bytes (BLOB)]
➤ Шаблон расширения и записки такой же, как я описал выше.

Название компании упоминается в записке. Данный случай связан с компанией из США. 

Обновление от 26 ноября 2018:
Пост в Твиттере >>
Email: Shirley.Rourke@protonmail.com, Imran.Adil@tutanota.com

Обновление от 27 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: Канада
Email: MARY.SWANN@PROTONMAIL.COM, HENRY.PROWSE@TUTANOTA.COM

Обновление от 30 ноября 2018:
Пост в Твиттере >>
Email: florri.nord@protonmail.ch, jakie.nunes@tutanota.com

Обновление от 14 декабря 2018:
Пост в Твиттере >>
Расширение: .cmsnwned
Объект атаки: CMS Nextech
Записка о выкупе: original_filename.cmsnwned_readme
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
Результаты анализов: VT + AR + HA

➤ Содержание записки:
Hello CMS Nextech,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:O7Js9a/WpwY=
KEY:AQIAABBmAAAApAAA***KFDWrlTs=

Обновление от 16 мая 2019:
Пост в Твиттере >>
Расширение: .ge0l0gic
Записка: original_filename.ge0l0gic_readme

Email: ELISABETH.TYLER@PROTONMAIL.COM, REGINA.SHELTON@TUTANOTA.COM
Результаты анализов: VT + HA + IA + AR

Обновление от 10-11 сентября 2019:
Пост в Твиттере >>
Расширение: .n3xtpharma
Записка: original_filename.n3xtpharma_readme
Пример такого файла: autoexec.bat.n3xtpharma_readme
Email: KAY.ROBERTSON@TUTANOTA.COM, HEATHER.JOSEPH@PROTONMAIL.COM

➤ Содержание записки: 
Hello ***Pharma.
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at KAY.ROBERTSON@TUTANOTA.COM (or) HEATHER.JOSEPH@PROTONMAIL.COM to get the ransom amount.
Keep our contacts safe. Disclosure can lead to impossibility of decryption.
Please, use your company name as the email subject.
TAIL:ejdl3Aw*****
KEY:AQIAABBmAAAApAAA***
---
Файл EXE: Locator.exe
Результаты анализов: VT + HA + IA + AR + JSB
➤ Обнаружения:
DrWeb -> Trojan.Encoder.28586
BitDefender -> Trojan.GenericKD.32408984
ALYac -> Trojan.Ransom.BitPaymer
Malwarebytes -> Ransom.Bitpaymer
Kaspersky -> Trojan.Win32.DelShad.ara



Обновление от 2-6 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>

Расширение: .3v3r1s
Записка: original_filename.3v3r1s_readme.txt
Email: SYDNEY.WILEY@PROTONMAIL.COM, EVANGELINA.MATHEW@TUTANOTA.COM

Обновление от 7 ноября 2019:

Пост в Твиттере >>

Расширение: .0riz0n

Записка: original_filename.0riz0n_readme.txt

Email: BRYNN.WERNER@PROTONMAIL.COM, GRACIE.REED@TUTANOTA.COM

Результаты анализов: VT + IA + VMR

Обновление от 16 ноября 2019:

Пост в Твиттере >>

Пост в Твиттере >>

Расширение: .grupothermot3k

Записка: original_filename.grupothermot3k_readme

Email: COLBY.WEST@PROTONMAIL.COM, HILARY.BUSH@TUTANOTA.COM

Результаты анализов: VT + IA + VMR

Обновление от 21 декабря 2019:

Пост в Твиттере >>

Расширение: .parad1gm

Записка: original_filename.parad1gm_readme

Email: JEREMIAH.MAHONEY@PROTONMAIL.COM, ALISSA.CARNEY@TUTANOTA.COM

Результаты анализов: VT + IA + HA

Обновление от 20 января 2020:
Пост в Твиттере >>
Расширение: .al1b1nal1
Записка: original_filename.al1b1nal1_readme
Результаты анализов: VT + HA + VMR

Обновление от 28 января 2020:
Пост в Твиттере >>
Расширение: .un1que
Записка: original_filename.un1que_readme.txt
Email: WHITNEY.MCDOWELL@PROTONMAIL.COM, KOREY.COBB@TUTANOTA.COM 
Результаты анализов: VT + HA + VMR

---



Обновление от 10 февраля 2020:
Пост в Твиттере >>
Расширение: .midwestsurinc
Записка: original_filename.midwestsurinc_readme
Email: LANA.OBRIEN@PROTONMAIL.COM, KERRI.DOUGHERTY@TUTANOTA.COM
Результаты анализов: VT + AR + VMR + IA

➤ Содержание записки: 
Hello Midwest Surveys Inc.
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at LANA.OBRIEN@PROTONMAIL.COM (or) KERRI.DOUGHERTY@TUTANOTA.COM to get the ransom amount.
Keep our contacts safe. Disclosure can lead to impossibility of decryption.
Please, use your company name as the email subject.
TAIL:AnSgVgKw9t0=
KEY:AQIAABBmAAAApAAAtnsuv5DO9xTiMfQOSybbAVSFA63MAOlCxztC*** [всего 700 знаков]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as IEncrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author) 
 Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.