Если вы не видите здесь изображений, то используйте VPN.

среда, 10 апреля 2019 г.

Ataware

Ataware Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 очков, чтобы вернуть файлы. Оригинальное название: AtaWare Ransomware. На файле написано: Ataware Ransomware.exe или Decryptor.exe. Информация о версии: ATAWARE, Version 1.0

© Генеалогия: выясняется, явное родство с кем-то не доказано.

В одном образце шифровани не произошло, но в другом образце к зашифрованным файлам добавляется расширение: .ATANUR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Ooops, your files have been encrypted!
---FAQ---
--What happened?--
Your data were encrypted and you don't have an access to your assets anymore.
You may attempt to decrypt your files, however,it may be just waste of your time.
--Who are you?--
We are just random people.
--How can I contact you?--
Unfortunately you can't contact us.We do not provide customer service.
--How can I restore my files?--
You may kindly ask for a decryption key,but it will cost you 500 points.
--If I pay, do you guarantee to send me the decryption key?--
We always guarantee high quality services.

Перевод текста на русский язык:
Ой, ваши файлы были зашифрованы!
---ЧАВО---
--Что случилось?--
Ваши данные зашифрованы, и у вас больше нет доступа к вашим ресурсам.
Вы можете попытаться расшифровать ваши файлы, но это может быть просто трата вашего времени.
--Кто ты?--
Мы просто случайные люди.
--Как я могу связаться с вами?--
К сожалению, вы не можете связаться с нами. Мы не предоставляем обслуживание клиентов.
- Как я могу восстановить мои файлы? -
Вы можете попросить ключ для расшифровки, но это будет стоить вам 500 очков.
- Если я заплачу, вы гарантируете прислать мне ключ расшифровки?
Мы всегда гарантируем высокое качество услуг.

После нажатия на кнопку "Decrypt" появляется диалоговое окно, а при его закрытии запускается MS Word и открывается файл devicedouble.rtf с бессмысленным набором текста. 
  

Содержание текста из диалогового окна:
Wait until decryptor finish its job. When decryption has done, it will notify you. Don't close this application, until notification pop up. 
[OK]

Перевод текста на русский язык:
Ждите, окончания работы декриптора. После расшифровки он сообщит. Не закрывайте программу, пока не появится поп-ап.
[OK]

Текст после окончания расшифровки: Decryption done! All files are recovered!

Перевод текста после окончания расшифровки:
Расшифровка готова! Все файлы восстановлены!

Текст и код из нижней части окна:
HOW DO I RECOVER MY FILES?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
*Click the Decrypt button*
IT WILL COSTS YOU 500 POINTS
About ATAWARE
MS Shell Dlg
ATAWARE, Version 1.0
Copyright (c) 2019
ATAWARE
ATAWARE
ATAWARECAT

Оригинал картинки. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует обход UAC с помощью интерфейса CMSTPLUA COM (ссылка на описание). Ataware пытается обойти UAC с помощью COM-интерфейса CMSTPLUA и загрузить еще один двоичный файл ATAPIConfiguration.exe из Dropbox-адреса. Затем он запускает загруженный файл.


➤ Используется dll из TeamViewer для удаленного управления.
Список файловых расширений, подвергающихся шифрованию:
Неизвестен, так как в примере не видно зашифрованных файлов. 
В принципе среди зашифрованных файлов могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AtaWare Ransomware.exe
Decryptor.exe
devicedouble.rtf
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://berylia.net/welcome/
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Ataware)
 Write-up, Topic of Support
 * 
 - Видеообзор работы Ataware
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Monster

Scarab-Monster Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> другие Scarab-варианты > Scarab-Monster
Это изображение — логотип статьи. Изображает скарабея с монстром.
This image is the logo of the article. It depicts a scarab with monster.

К зашифрованным файлам добавляется расширение: .langolier


Этимология названия:
"The Langoliers" (Лангольеры) - название фильма ужасов по одноименной повести Стивена Кинга. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
Hello,
all your files have been encrypted.
Your personal ID:
pAQAAAAAAA***MXyAA
If you want to recovery your files, you need the decryptor.
You should send us e-mail with your personal ID and 3 (three) files (non archived) to receive the decryptor.
>>> Contacts:
   langolier@india.com
   langolier@airmail.cc 
If your mail server doesn't send e-mail to our contacts, we recommended you to create an e-mail on Protonmail.com (https://protonmail.com) or India.com (https://mail.india.com/account/login)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived!!!), and files should not contain valuable information (databases, backups, large excel sheets, etc.). We recommeded to send pictures, text files, sheets, etc.
>>> ATTENTION!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Привет,
все ваши файлы были зашифрованы.
Ваш личный ID:
pAQAAAAAAA***MXyAA
Если вы хотите восстановить ваши файлы, вам нужен декриптор.
Вы должны отправить нам email с вашим личным ID и 3 (тремя) файлами (не в архиве) на адрес, чтобы получить декриптор.
>>> Контакты:
   langolier@india.com
   langolier@airmail.cc
Если ваш почтовый сервер не отправляет email нашим контактам, мы рекомендуем вам создать email на Protonmail.com (https://protonmail.com) или India.com (https://mail.india.com/account/login)
>>> Бесплатная расшифровка как гарантия!
Перед оплатой вы отправляете нам до 3 файлов для бесплатной расшифровки.
Общий размер файлов должен быть не более 10 Мб (не в архиве!!!), и файлы не должны содержать
ценную информацию (базы данных, резервные копии, большие таблицы Excel и т.д.). Мы рекомендуем присылать фотографии, текстовые файлы, таблицы и т.д.
>>> ВНИМАНИЕ!
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свой плату к нашей), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: langolier@india.com, langolier@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
Scarab-Dharma - июль-август 2019




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 апреля 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .croc
Записка о выкупе: HELP_BY_CROC.TXT
Email: croc@airmail.cc, cr0c@mail.ee
 Этимология названия: "Croc" (Крокодил) - название 6-го фильма ужасов из серии "Maneater" (Людоед), снятого в 2007 году для телевидения США. После перевода на русский язык фильм назвали "Тень в глубине". 



➤ Содержание записки о выкупе:
Hello,
all your files have been encrypted.
>>> Your personal ID:
pAQAAAAAAAA***lE3lAQ
If you want to recovery your files, send us e-mail with your personal ID and 3 test files (non archived, total size of files must be less than 10Mb).
>>> Contacts:
   croc@airmail.cc
   cr0c@mail.ee
If your mail server doesn't send e-mail to our contacts, we recommended you to create
an e-mail on Protonmail.com (https://protonmail.com).
>>> ATTENTION!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.


Обновление от 23 апреля 2019:
Расширение: .vally
Записка о выкупе: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: vally@india.com, vally@firemail.cc
Этимология названия: Вероятно, неправильное написание от "WALL-E" (ВАЛЛ-И) -  полнометражный компьютерный анимационный научно-фантастический фильм 2008 года от Pixar Animation Studios.


 


➤ Содержание записки о выкупе:
Hello,
all your files have been encrypted.
Your personal ID:
+4IAAAAAAA***eDMp40
If you want to recovery your files, you need the decryptor.
You should send us e-mail with your personal ID and 3 (three) files to receive the decryptor.
>>> Contacts:
   vally@india.com
   vally@firemail.cc
If your mail server doesn't send e-mail to our contacts, we recommended you to create
an e-mail on Protonmail.com (https://protonmail.com) or India.com (https://mail.india.com/account/login)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.). We recommeded to send pictures,
text files, sheets, etc.
>>> ATTENTION!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.


Обновление от 19 июля 2019:
Расширение: .crypt
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: langolier@india.com, langolier@airmail.cc 
Результаты анализов: VT + HA + AR + IA + VMR / VT
➤ Содержание записки о выкупе:
Hello ;)))
All your files have been encrypted.
Your personal ID:
MjijqTzoTZZRRJpM***U5XoOTs=
If you want to recovery your files, you need the decryptor.
You should send us e-mail with your personal ID and 3 (three) files (non archived) to receive the decryptor.
>>> Contacts:
langolier@india.com
langolier@airmail.cc 
If your mail server doesn't send e-mail to our contacts, we recommended you to create an e-mail on Protonmail.com (https://protonmail.com) or India.com (https://mail.india.com/account/login)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived!!!), and files should not contain valuable information (databases, backups, large excel sheets, etc.). We recommeded to send pictures, text files, sheets, etc.
>>> ATTENTION!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss.  
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 8 апреля 2019 г.

RobinHood HT, Proyecto X

Proyecto X Ransomware

RobinHood HT Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке названо как RobinHood. На файле проекта написано: Proyecto X. На exe-файле написано: Proyecto X.exe.

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.HiddenTear.Generic

© Генеалогия: HiddenTear >> RobinHood HT (Proyecto X)
Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .robinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LEEAME.txt

Содержание записки о выкупе:
:V Tus Archivos Han Sido Encriptados Por ROBIN HOOD COMUNICATE xiaslow@yandex.com :V"

Перевод записки на русский язык:
:V Твои файлы зашифровал Робин Гуд, для связи xiaslow@yandex.com :V 

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Proyecto X.exe
LEEAME.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\LEEAME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xiaslow@yandex.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoMix-DLL

CryptoMix-DLL Ransomware

DLL CryptoMix Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: CryptoMix >> CryptoMix-Revenge > CryptoMix-DLL

К зашифрованным файлам добавляется расширение: .DLL

Примеры зашифрованных файлов: 
D1EB93921993D22CCA0EF4561B33B5E0.DLL
A42E26AC434B58C8C75151D644EB3C7C.DLL

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT



Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
dllteam@protonmail.com
dllteam1@protonmail.com
dllpc@mail.com
dllpc@tuta.io
claremohan@tuta.io
claremohan@yandex.com
mohanclare@yandex.com
Please send email to all email addresses! We will help You immediately!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-836ec65f-5355-4da5-96ca-1794d4e1ee8a number

Перевод записки на русский язык:
Привет!
Внимание! Все Ваши данные были зашифрованы!
Для получения конкретной информации, пожалуйста, отправьте нам письмо с вашим ID номером:
dllteam@protonmail.com
dllteam1@protonmail.com
dllpc@mail.com
dllpc@tuta.io
claremohan@tuta.io
claremohan@yandex.com
mohanclare@yandex.com
Пожалуйста, отправьте письмо на все email адреса! Мы поможем Вам немедленно!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ЛЮБОЕ ПУБЛИЧНОЕ ПО! ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШИ ДАННЫЕ НАВСЕГДА!
DECRYPT-ID-836ec65f-5355-4da5-96ca-1794d4e1ee8a номер



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
dll.exe - исполняемый файл шифровальщика
BC1C9B74EA.exe - копия исполняемого файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\dll.exe
C:\ProgramData\BC1C9B74E8.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Встроенный открытый ключ:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK3KhGZ0Tp5NnWzTT8qQSoXNBf noIUpn3M1ubJf8Z6lb2xGWIYPDpmF+H4yKTPZ20vc49SQ6Dbrdwc0/6TzykOMdOv 9BJWYT75kwEufiqv0Gy9ZHKhlpAXJkrWoOMonFqS4T6HOTdkiN+shadQt299bUlu f+TqSqhkhz6Cp9IHbwIDAQAB
-----END PUBLIC KEY-----

Сетевые подключения и связи:
Email: dllteam@protonmail.com
dllteam1@protonmail.com
dllpc@mail.com
dllpc@tuta.io
claremohan@tuta.io
claremohan@yandex.com
mohanclare@yandex.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Ещё не было обновлений этого варианта. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myPost + myTweet
 ID Ransomware (ID as CryptoMix Revenge)
 Write-up, Topic of Support
 * 
Added later:
Write-up on BleepingComputer (on April 18, 2019)
*
*
 Thanks: 
 Michael Gillespie (ID Ransomware)
 Andrew Ivanov (author)
 Lawrence Abrams (BleepingComputer)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *