Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
К зашифрованным файлам добавляется расширение: .rontok Зашифрованные файлы переименовываются. Пример зашифрованных файлов с закодированными в base64 названиями:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Этимология названия: Вымогатели не удосужились дать точное название своему крипто-вымогателю. Поэтому, согласно принятому порядку именования, мы использовали расширение и дали название Rontok. Позже в коде страницы я заметил слово B0r0nt0K и добавил его в заголовок статьи. Это же осталось в коде новой странице нового домена, который вымогатели зарегистрировали 25 февраля 2019, взамен первого. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Один из пострадавших сообщил, что был атакован веб-сервер под управлением Ubuntu 16.04 (2016 г.). Запиской с требованием выкупа выступает некий экран или веб-форма:
Содержание текста о выкупе: Ops... Your file have been encrypted And your database file have been encrypted too UUID: d40bbe71aa5c763c9c87de********** Click here to get decryption key [Decryption Key] [Decrypt] Перевод текста на русский язык: Опс ... Ваш файл был зашифрован И файл вашей базы данных тоже был зашифрован UUID: d40bbe71aa5c763c9c87de ********** Нажмите здесь, чтобы получить ключ расшифровки [Ключ расшифровки] [Расшифровать]
От пострадавшим требуется перейти на сайт borontok.uk и ввести полученный UUID.
Сообщение на сайте после ввода UUID: Send 20 BTC to this address : 3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC Your files and databases will be destroyed on 3 days. Negotiate ? contact : info@borontok.uk [d40bbe71aa5c763c9c87de **********] Enter BTC TX ID if you already sent bitcoin... [Check] Перевод сообщения на русский язык: Пошлите 20 BTC на этот адрес: 3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC Ваши файлы и базы данных уничтожатся через 3 дня. Договоримся ? контакт: info@borontok.uk [d40bbe71aa5c763c9c87de **********] Ввод BTC TX ID, если вы уже послали биткоины ... [Проверить]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: rF8v0KRh.php <random> - случайное название Расположения: /server/ /web/ Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: URL: xxxxs://borontok.uk - домен, зарегистрированный 10 февраля 2019. Email: info@borontok.uk, info@botontok.uk В названии botontok.uk вкралась ошибка, правильно borontok.uk BTC: 3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 25 февраля 2019: Новый сайт: xxxxs://borontok.com/ Новый email: viethckr@yandex.com
При просмотре сайта 28 февраля нового email уже не было.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
К зашифрованным файлам добавляется расширение: .vscode
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: RacWmiDatabase.sdf.txt Она замещает (перезаписывает) собой зашифрованные файлы, при открытии которых открывается этот один и тот же файл. Вот как выглядит содержимое этого файла при открытии в браузере и в Блокноте.
Содержание записки о выкупе: my name is tostring and your pc is now fucked fuck you pain exist you fucking nigger now go fucking cry to your skid friends and your skid followers/fans about how your pc just died megalul ─────────▄──────────────▄ ────────▌▒█───────────▄▀▒▌ ────────▌▒▒▀▄───────▄▀▒▒▒▐ ───────▐▄▀▒▒▀▀▀▀▄▄▄▀▒▒▒▒▒▐ ─────▄▄▀▒▒▒▒▒▒▒▒▒▒▒█▒▒▄█▒▐ ───▄▀▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▀██▀▒▌ ──▐▒▒▒▄▄▄▒▒▒▒▒▒▒▒▒▒▒▒▒▀▄▒▒▌ ──▌▒▒▐▄█▀▒▒▒▒▄▀█▄▒▒▒▒▒▒▒█▒▐ ─▐▒▒▒▒▒▒▒▒▒▒▒▌██▀▒▒▒▒▒▒▒▒▀▄▌ ─▌▒▀▄██▄▒▒▒▒▒▒▒▒▒▒▒░░░░▒▒▒▒▌ ─▌▀▐▄█▄█▌▄▒▀▒▒▒▒▒▒░░░░░░▒▒▒▐ ▐▒▀▐▀▐▀▒▒▄▄▒▄▒▒▒▒▒░░░░░░▒▒▒▒▌ ▐▒▒▒▀▀▄▄▒▒▒▄▒▒▒▒▒▒░░░░░░▒▒▒▐ ─▌▒▒▒▒▒▒▀▀▀▒▒▒▒▒▒▒▒░░░░▒▒▒▒▌ ─▐▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▐ ──▀▄▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▄▒▒▒▒▌ ────▀▄▒▒▒▒▒▒▒▒▒▒▄▄▄▀▒▒▒▒▄▀ ───▐▀▒▀▄▄▄▄▄▄▀▀▀▒▒▒▒▒▄▄▀ ──▐▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▀▀ wow such beautiful files such wow made by minecraft master and tostring Перевод записки на русский язык: Нет резона переводить этот непристойный, бессмысленный текст. На экране компьютера в быстром темпе сменяются изображения.
Оригинальное изображение загружено из приложения Discord и представляет собой танцующую девушку.
Технические детали
Распространяется через Discord. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: RacWmiDatabase.sdf.txt <random>.exe - случайное название The power of hentai.exe The power of hentai.pdb Idiot.exe BandagedBD_Windows_1.exe DiscordAccessPlugin.exe update_discord.exe Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> C:\Minecraft\Idiot\Idiot\obj\Release\Idiot.pdb C:\Minecraft\The power of hentai\The power of hentai\obj\Release\The power of hentai.pdb Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: URL: xxxxs://cdn.discordapp.com/attachments/548593284985913388/548621341654515783/despacito.gif xxxxs://cdn.discordapp.com/attachments/548593284985913388/548622096075325441/The_power_of_hentai.exe {Malware} xxxxs://cdn.discordapp.com/attachments/279746430569021450/349331655342948352/6cJqr9nR.exe {Malware} xxxxs://cdn.discordapp.com/attachments/444852318056480770/445676993800044555/update_discord.exe {Malware} xxxxs://cdn.discordapp.com/attachments/300754440976203778/300996499330957313/DiscordAccessPlugin.exe {Malware} xxxxs://cdn.discordapp.com/attachments/511444079419326468/511444666034683904/BandagedBD_Windows_1.exe {Malware} Email: - BTC: - См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >>AR>> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Пример зашифрованного файла с разными email: 1.jpg.id.12345ABC.[buykey@decryptionsales.online].crazy 1.jpg.id.12345ABC.[decryptcrazy@gmail.com].crazy Факты заимствования из Dharma Ransomware: 1) FILES ENCRYPTED.txt - название записки о выкупе 2) содержание записки почти всё, кроме дополнительной 4-й строки 3) .id.<victim_id>.[<email>].<extension> - почти идентичный шаблон, различие только в одном знаке - здесь стоит "." (точка) после <victim_id>, а в шаблоне Dharma используется "-" (дефис). Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По некоторым данным, распространяется из Бразилии. Записка с требованием выкупа называется: FILES ENCRYPTED.txt
Содержание записки о выкупе: all your data has been locked us You want to return? write email: decryptcrazy@gmail.com and tell us your unique ID:XXXXXXXX. Перевод записки на русский язык: все ваши данные блокированы нами Вы хотите вернуть? пишите email: decryptcrazy@gmail.com и скажите нам свой уникальный ID: XXXXXXXX. Другим информатором жертвы выступает экран блокировки.
Содержание текста о выкупе: All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, Write us to the e-mail: decryptcrazy@gmail.com [Cadastrar_Cliente] Write this ID in the title of your message: E49AD*** The cost of decryption is US $500. We receive payment only in BITCOINS. After payment we will send you the decryption key that will decrypt all your files. Decryption process: To decrypt the files, transfer money to our bitcoin wallet number: 1MmVistFXCoHVQTxsin5r5nAu5h3PocdDv After payment we will send you the decryption key Detailed instruction for decryption. The easiest way to buy bitcoins: https://localbitcoins.com/ Enter Decryption Key Here: [***] [I made a payment, now give me my files back] (Crazy Crypt Online) Перевод текста на русский язык: Все ваши файлы зашифрованы! Все ваши файлы зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите восстановить их, напишите нам на email: decryptcrazy@gmail.com [Cadastrar_Cliente] Напишите этот ID в заголовке вашего сообщения: E49AD*** Стоимость дешифрования составляет $500 США. Мы получаем оплату только в биткоинах. После оплаты мы вышлем вам ключ расшифровки, который расшифрует все ваши файлы. Процесс расшифровки: Для расшифровки файлов перешлите деньги на наш биткоин-кошелек: 1MmVistFXCoHVQTxsin5r5nAu5h3PocdDv После оплаты мы вышлем вам ключ расшифровки Подробная инструкция по расшифровке. Самый простой способ купить биткоины: https://localbitcoins.com/ Введите ключ расшифровки здесь: [***] [Я заплатил, теперь верните мне мои файлы] (Crazy Crypt Online)
По сообщению исследователя сайт по ссылке "Crazy Crypt Online" не открывается. Уплата выкупа бесполезна!
Технические детали
Может выдавать себя за Shockwave Flash или Adobe Flash Player. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ CrazyCrypt завершает процессы: "procexp", "SbieCtrl", "SpyTheSpy", "wireshark", "apateDNS", "IPBlocker", "TiGeR-Firewall", "smsniff", "exeinfoPE", "NetSnifferCs", "Sandboxie Control", "processhacker", "dnSpy", "CodeReflect", "Reflector", "ILSpy", "VGAuthService", "VBoxService", "msconfig", "regedit", "cmd", "taskmgr", "ShadowExplorer", "rstrui", "ShadowExplorerPortable", "SpyHunter-Installer", "SpyHunter" Список файловых расширений, подвергающихся шифрованию: .3gp, .aac, .ac3, .adobe, .ahok, .apk, .asp, .aspx, .avi, .bak, .bmp, .crypted, .cs, .csv, .db, .doc, .docx, .encrypt, .exe, .flac, .frm, .gif, .html, .jpeg, .jpg, .js, .ldf, .max, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .myd, .myi, .ogg, .pas, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .raw, .rmvb, .txt, .vb, .wav, .wma, .wmv, .xls, .xlsb, .xlsm, .xlsx, .xltx, .zip (58 типов файлов, если считать без повторов). Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Пропускает папки с именами, оканчивающимися на: "Bin", "indows", "tings", "System Volume Information", "cache", "very", "rogram Files (x86)", "rogram Files", "boot", "efi", ".old" Подробности о шифровании: Шифрование AES-256 Есть ключ SHA512 от строки (в Base64) AQAAAH5oQEh8YL9pOA1D9VAdUTIrS/RYbleDxgg/SU1gHBX2int8YkD4FW/jLjrbpovX5bTgKdVZgpwXQKk9ZJXXtGEyQnyzHiUwO+WqhBD9x00L++9WU4qyCEPzaq3G6tYVB0veTp+6GN2n2e5no96UNR3hPft96SpDDI0/j/HPMbLKtKv2EUI7r6ZR8YbVRGF+uYPNRmoeYuV1d5gq0mFfxxFxJSEl Вектор тоже SHA512 от набора "{125, 291, 101, 170, 1232, 7314, 141, 3119, 25655, 91231, 45615, 4578, 14231, 254511, 2552, 62342}" ➤ Исполняемый файл CrazyCrypt предназначен шифрования и дешифрования. Файлы, связанные с этим Ransomware: FILES ENCRYPTED.txt - файл записки; HAPUBWS.exe - исполняемый файл; Administrator.exe- исполняемый файл;
\Desktop\Admin.exe Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: URL: hxxx://crazycrypt.store/requests
Email-1: buykey@decryptionsales.online Email-2: decryptcrazy@gmail.com Email-3: crazycrypt@bk.ru BTC: 1MmVistFXCoHVQTxsin5r5nAu5h3PocdDv См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Triage analysis >>
Степень распространённости: средняя. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 27 февраля 2019: Пост в Твиттере >> Самоназвание: CrazyCrypt 2.1 Расширение: .crazy Записка: FILES ENCRYPTED.txt Email: crazydecrypt@horsefucker.org
➤ Содержание записки: FILES ENCRYPTED! All your data has been locked us you want to return? Write email: crazydecrypt@horsefucker.org And tell us your unique ID: Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. Your private key will be destroyed on: 71:59 I file will be deleted. If you turn off your computer or try to close me, when I start next time. you will get 1000 files deleted as a punishment. Enter Decryption Key Here: [***] [I made a payment, now give me my files back]
Обновление от 28 февраля 2019: Пост в Твиттере >> Самоназвание: CrazyCrypt 3.19 Расширение: .crazy Составное расширение: .id.<XXXXXXXX>.[buykey@decryptionsales.online].crazy Записка: FILES ENCRYPTED.txt Email: buykey@decryptionsales.online
Обновление от 2 февраля 2019: Пост в Твиттере >> Самоназвание: CrazyCrypt 4.1 Расширение: .crazy Записка: FILES ENCRYPTED.txt Email: buykey@decryptionsales.online
К зашифрованным файлам добавляется расширение: .BlackPink
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: how_to_recver_files.txt
Содержание записки о выкупе: ------------------------------ BEGIN KOREAN ------------------------------ 조언을 받으십시오 : 모든 파일, 사진 문서 및 데이터는 군용 등급 암호화 RSA AES-256으로 암호화되어 있습니다. 귀하의 정보는 손실되지 않습니다. 그러나 암호화. 파일을 복원하려면 Decrypter를 구입해야합니다. 이 단계에 따라 파일을 복원하십시오. 1 * Tor 브라우저를 다운로드하십시오. (구글에 "Tor 다운로드"만 입력하면됩니다.) 2 * URL 찾아보기 : http://www.google.com 3 * 파일을 복원하려면 Decryptor를 구입하십시오. 그것은 매우 간단합니다. 파일을 복원 할 수 있다고 생각지 않으면 이미지 형식의 파일 1 개를 무료로 복원 할 수 있습니다. 시간이 똑딱 거리고 있다는 것을 알아 두십시오. 가격은 96 시간마다 두 배가되므로 현명하게 사용하십시오. 고유 ID : injection 주의: 암호화 된 파일을 수정하거나 삭제하지 마십시오. 복원하기가 어려울 수 있습니다. 지원하다: 지원 센터에 문의하여 파일의 암호를 해독하는 데 도움을받을 수 있습니다. ------------------------------ END KOREAN ------------------------------ Перевод записки на русский язык: ------------------------------ НАЧАЛО НА КОРЕЙСКОМ ------------------------------ Получить совет: Все файлы, фотодокументы и данные зашифрованы шифрованиемвоенного класса RSA AES-256. Ваша информация не потеряна. Тем не менее, зашифрована. Вы должны приобрести Decrypter, чтобы восстановить ваши файлы. Выполните следующие действия, чтобы восстановить файлы. 1 * Пожалуйста, скачайте Tor браузер. (Просто введите "Tor Download" в Google.) 2 * Просмотрите URL: http://www.google.com 3 * Для восстановления файлов приобретите Decryptor. Это очень просто. Если вы не верите, что сможете восстановить свои файлы, вы можете бесплатно восстановить один файл в формате изображения. Обратите внимание, что время идет. Цены удваиваются каждые 96 часов, поэтому используйте его с умом. Уникальный идентификатор: инъекция ВНИМАНИЕ: Не изменяйте и не удаляйте зашифрованные файлы. Это будет трудно восстановить. Поддержка: Вы можете связаться с центром поддержки, чтобы расшифровать файл. ------------------------------ КОНЕЦ НА КОРЕЙСКОМ ------------------------------
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: how_to_recver_files.txt <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: --- BTC: --- См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + myTweet
ID Ransomware (ID as ***)
Write-up, Topic of Support
*
Thanks:
Michael Gillespie
Andrew Ivanov (author)
*
to the victims who sent the samples
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as Rontok) Topic of Support *
Added later: Write-up on BC (add. February 25, 2019 *
Thanks: Andrew Ivanov (author), Michael Gillespie BleepingComputer * to the victims who sent the samples
