Project57

Project57 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0 BTC, чтобы вернуть файлы. Оригинальное название: Project57 или другое. На файле написано: Project57.exe.

© Генеалогия: предыдущие проекты >> Project57

К зашифрованным файлам добавляется расширение: .костя баранин
Фактически используется .[ti_kozel@lashbania.tv].костя баранин

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT.HTML
DECRYPT.TXT

Содержание HTML-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv. Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Информация
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!

Содержание TXT-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. 
Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv. 
Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. 
ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!

Также используется экран блокировки, в котором отображается список зашифрованных файлов и сначала виден только текст до идентификатора и сам идентификатор. 

При двойном клике по серому фону и 2 раза по заголовку "Ваши файлы заблокированы" появляется текст, направленный против автора GandCrab. 
Его же можно увидеть, если заглянуть в код веб-файла DECRYPT.HTML (строка 16). 

Грамотность автора текстов просто никакая. Ошибки почти в каждом предложении и друг на друге. Видимо тот, кто писал текст записки, "кодить и шкодить начал одновременно". Хотя, возможно, что эти ошибки сделаны намеренно. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется Delphi и PHP интерпретатор. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.HTML
DECRYPT.TXT
php5ts.dll

Sample.exe
Project57.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ti_kozel@lashbania.tv
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>> VT>> VT>>
🐞 Intezer анализ >>  IA>>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet 
 ID Ransomware (ID as Project57)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, GrujaRS, Petrovic
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tunca, KGDecrypt

Tunca Ransomware

KGDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 100€ или 115$ или эквиваленты других валют, а также предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.. Оригинальное название: вероятно KGDecrypt (упоминается в тексте). На файле написано: Windows.

© Генеалогия: HiddenTear >> Tunca

К зашифрованным файлам добавляется расширение: .tunca 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен во второй половине декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё в разработке. Шифрует некоторые файлы. Работа нестабильна. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Ooops, it seems like all of your files have been encrypted with AESencryption algorithm.
Can I get my files back?
-Yes, you can. But you need this following software : KGDecrypt
-Without the software, no one can decrypt your files
How do I pay?
-Simply buy a 100€ Paysafecard
-Send a message with the Paysafecard PIN to this account:
Lockify@protonmail.com
-Wait for us to confrim your payment
-Get the decryptor

---

However, there is a way to get a free decryptor!

How to get the free decryptor?

-Create a link on grabify that will download your victim the ransomware

-With this, infect at least 10 people

-Send proof to: Lockify@protonmail.com

-Get your decryptor

Перевод записки на русский язык:
Ой, кажется, что все ваши файлы были зашифрованы с помощью алгоритма AES шифрование.
Могу ли я вернуть свои файлы?
-Да, можешь. Но тебе нужно эта следующая программа: KGDecrypt
-Без программы никто не сможет расшифровать твои файлы
Как мне оплатить?
-Просто купить Paysafecard 100 €
-Отправить сообщение с PIN-кодом Paysafecard на этот счет:
Lockify@protonmail.com
-Подождать нас, чтобы подтвердить твой платеж
-Получить расшифровщик
---
Однако есть способ получить бесплатный расшифровщик!
Как получить бесплатный расшифровщик?
-Создать ссылку на grabify, которую загрузит ваша жертва вымогателя
-При этом заразить не менее 10 человек
-Отправить подтверждение: Lockify@protonmail.com
-Получить декриптор

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Примечательно, что вымогатель предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lockify@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать! Там статический пароль. 
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

QP Ransomware

QP Ransomware

qpqpqpqp Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: предыдущие 7zip-вымогатели: 7zipper и другие >> QP Ransomware

К зашифрованным файлам добавляется расширение: .aes
Фактически сначала файлы помещаются в архив с паролем (по данным Майкла Джиллеспи это 7zip-архив), а потом расширение переименовывается на .aes
Согласно известной технологии, при архивации с паролем файлы защищены шифрованием AES-256. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Среди пострадавших пользователи из России, но текст записки на английском языке.  

Записка с требованием выкупа называется: INFORMATION.HTA

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. 
If you want to restore them, write us to the e-mail qpqpqpqp@rape.lol
Write this ID in the title of your message 796803309
In case of no answer in 24 hours write us to this e-mail: qpqpqpqp@firemail.cc
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee!
Before paying you can send us up to 4 files for free decryption. The size of each file must be less than 2Mb, and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Если вы хотите восстановить их, напишите нам на email qpqpqpqp@rape.lol
Напишите этот ID в заголовке вашего сообщения 796803309
При отсутствии ответа в течение 24 часов напишите нам на этот email : qpqpqpqp@firemail.cc
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам до 4 файлов для бесплатной расшифровки. Размер каждого файла должен быть менее 2 МБ, и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные сторонними программами, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INFORMATION.HTA
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: qpqpqpqp@rape.lol, qpqpqpqp@firemail.cc
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QP Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov, Michael Gillespie
 *
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cossy, Grafimatriux

Cossy Ransomware

Grafimatriux Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 50 рублей BTC, чтобы вернуть файлы. Оригинальное название: Cossy. На файле написано: Cossy и Cossy.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Защищено RSA-2048

При этом exe-файлы меняют расширение на .lnk.Защищено RSA-2048
Пример: Setup.exe > Setup.lnk.Защищено RSA-2048

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Как все эту шалашкину контору расшифровать.txt

Содержание записки о выкупе:
Привет дорогой друг! Да, я скупой жадина но я должен это сказать...
прости...
но.......
все твои файлы___
ЗАШИфРоВаНЫ!1!!11!!11!1 :DDDDDDDDD
Алгоритм RSA! 2048 бит! 4096 лень!
Он на простых числах базируется он.
Сейчас расскажу вам просто.
Пишите на grafimatriux72224733@protonmail.com.
Мы предоставляем: Бесплатную расшифровку. Платную расшифровку (и Договорную расшифровку)*
Договорная расшифровка - это если Вы имеете файлы старой давности, которые копили много лет, то дешифратор предоставляется бесплатно.
Платная расшифровка стоит - 50 рублей в биткоинах, кошелек сделаем для Вас уникальным.*
Бесплатно расшифровать можно 5 файлов с размером 5 или меньше МБ.
Я не обманываю Вас, + даю при оплате советы по улучшению безопасности и инструкции по дешифровке."
* - Услуги предоставляются если Вы для нас напишете письмо с файлом Крайне важная инфа.RSA-2048 файл

Перевод записки на русский язык:
Уже сделан вымогателем. 

✔ При этом в тексте записки и названиях файлов есть ошибки, характерные для "юного дарования", немного недоучившегося в школе. Радует, что совесть у этого "юного дарования" ещё осталась и он просит не так много и в... рублях. Хотя, это всё может быть просто показное и эти микро-деньги ему не нужны. Ему важно показать себя творцом этого и всех предыдущих Ransomware, которые он сделал и запустил. 

📢 Но, дорогой друг, Ransomware — это не творческая забава, а опасные игры, а брошенная граната может задеть и того, кто её бросил. Так что, пока не поздно, переходи на серьёзные вещи — пиши полезные программы и найдёшь больше пользователей, которые это оценят.  

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cossy.exe
Как все эту шалашкину контору расшифровать.txt
Крайне важная инфа.RSA-2048 файл
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: grafimatriux72224733@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cossy)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ransom102

Ransom102 Ransomware

Ransomwared Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom102. На файле написано: ransom102.

Обнаружения:
DrWeb -> Trojan.Encoder.26918
BitDefender -> Trojan.GenericKD.40847411
Avira (no cloud) -> TR/Encoder.ownoz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.RX
Kaspersky -> Trojan-Ransom.Win32.Encoder.bar
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Eamz
TrendMicro -> Ransom.Win32.EXTRACRED.THABBOAH
VBA32 -> TScope.Trojan.MSIL

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ransomwared


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Recovery":

 

Содержание записки о выкупе:
You are ransomwared! To recover your files, email us and buy recovery code :)
wanna@extra.credit

Перевод записки на русский язык:
Вы выкуплены! Чтобы вернуть ваши файлы, мыльте нам и купите код восстановления :)
wanna@extra.credit

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
win_defender_patch.exe - использует значок Windows Defender
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wanna@extra.credit
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2020:
Статус: Файлы можно расшифровать! Ссылка на дешифровщик >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .iwanttits
Результаты анализов: VT + VMR

  

  

Пароль для восстановления: sAsHat1t

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Теперь также есть дешифровщик от Майкла и Emsisoft
Скачать по ссылке >>

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Ransomwared)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 Emsisoft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.