GetCrypt

GetCrypt Ransomware

GetCrypt 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 и RSA-4096, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC, и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ChristsIbrahim и Tky If Dos.

Обнаружение: 
ALYac -> Trojan.Ransom.GetCrypt
DrWeb -> Trojan.MulDrop9.11198, Trojan.Encoder.28201
Malwarebytes -> Ransom.GetCrypt
BitDefender -> Trojan.GenericKD.41309446, Gen:Heur.Ransom.Imps.1
Kaspersky -> Trojan.Win32.DelShad.hr

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Уменьшенное изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{4}>

Примеры расширений из загруженных образцов: 
.NHCR
.ONYC

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # DECRYPT MY FILES #.txt

Содержание записки о выкупе:
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible.
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
CpbNPC3in+gflXBWw+85FpmEPijhUwB5ko1oiaLljVQ/MmJ***

Перевод записки на русский язык:
Внимание! Ваш компьютер был атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографическим алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ НАПИШИТЕ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
CpbNPC3ingflXBWw85FpmEPijhUwB5ko1oiaLljVQ/MmJ***

---
Как видно из текста, он немного недописан. Полный текст и второй email см. на изображении ниже. 

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста с изображения:
ATTENTION
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible. 
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES
YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
please use this alternative email address: CRYPTGET@TUTANOTA.COM
1. Open your browser
2. Write to our mail: GETCRYPT@COCK.LI
3. Attach file encrypted_key.bin from %appdata% to your message

Перевод текста на русский язык:
ВНИМАНИЕ
Внимание! Ваш компьютер атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографически надежным алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ
ВАМ НУЖНО НАПИСАТЬ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
пожалуйста, используйте этот альтернативный email-адрес: CRYPTGET@TUTANOTA.COM
1. Откройте ваш браузер
2. Пишите на нашу почту: GETCRYPT@COCK.LI
3. Прикрепите файл encrypted_key.bin из% appdata% к вашему сообщению.

---
Стиль изображения с текстом похож на тот, что использовался ранее в Cerber Ransomware. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig Exploit Kit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Кажется, ПК пользователей из стран СНГ должны пропускаться. 

➤ Удаляет теневые копии файлов стандартной командой из арсенала Windows: vssadmin.exe delete shadows /all /quiet

➤ Дроппирует в систему множество файлов. 

➤ Список пропускаемых директорий ("белый список"): 
C:\Windows\System32
C:\Windows\System32\svchost.exe
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Windows
:\Boot
:\System Volume Information
:\Recovery
AppData

➤ Пытается получить доступ к ресурсам локальной сети, перебирая следующие логин-пароли:
admin
administrator
Administrator
test
1111
11111
111111
Guest
Home
root
developer
r00t
ro0t
r0ot
qwerty
1234
12345
123456
1234567
12345678
123456789
1234567890

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# DECRYPT MY FILES #.txt
bs03u4lh.bin.exe
<random>.exe - случайное название вредоносного файла
encrypted_key.bin
Tempdesk.bmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\encrypted_key.bin
\AppData\Local\Tempdesk.bmp
C:\Dub\Echoplex\8\Release\F1.pdb 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getcrypt@cock.li, cryptget@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
ᕒ  ANY.RUN analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21-22 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .NHCR или .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: GETCRYPT@COCK.LI, CRYPTGET@TUTANOTA.COM
Результаты анализов: VT + VMR + AR

Обновление от 28 мая 2019:
Пост в Твиттере >>
Расширение: .NHCR или .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: OFFTITAN@cock.li, OFFTITAN@PM.ME
Результаты анализов: VT + VMR

Обновление от 31 мая 2019:
Топик на форуме >>
Записка: # DECRYPT MY FILES #.txt
Email: cryptomadbusiness@protonmail.com
➤ Содержание записки: 
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible.
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: cryptomadbusiness@protonmail.com
It is in your interest to respond as soon as possible to ensure the restoration of your files.


Обновление от 29 июня 2019:
Пост в Твиттере >>
Расширение: .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: 
Результаты анализов: VT 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as GetCrypt)
 Write-up, Topic of Support
 * 

 - видеообзор предоставлен сервисом ANY.RUN

 Thanks: 
 Petrovic, GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

BulbaCrypt HT

BulbaCrypt HT Ransomware 

MarozkaTear Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Bulba, ss.exe и God.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
Symantec -> Ransom.HiddenTear!g1
ALYac -> Trojan.Ransom.BulbaCrypt

© Генеалогия: HiddenTear >> Marozka > BulbaCrypt > HermesCrypt

К зашифрованным файлам добавляется расширение: .Crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address india2lock@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат .Crypted.
Эта форма файлов '.Crypted' является совместной разработкой American Hackers.
Вы можете восстановить файлы только используя расшифровщик и пароль, которые, в свою очередь, знаем только мы.
Подобрать это невозможно.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам письмо на адрес india2lock@gmail.com
У вас осталось 48 часов. Если они не расшифрованы, то через 48 часов они будут удалены !!!

Запиской с требованием выкупа также выступает экран блокировки.

Содержание текста на экране:
Hello - admin
Your computer name - USER-PC
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted ".Crypted".
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password.
Click the tab "Decryption instructions" and follow the instructions

Перевод текста на русский язык:
Привет - admin
Имя вашего компьютера - USER-PC
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат ".Crypted".
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля.
Нажмите на вкладку "Инструкции по расшифровке" и следуйте инструкциям

---

Скриншоты с другими вкладками экрана блокировки. 

Скриншоты с сайта ethclicks.live, который теперь заблокирован, показывают то, что там было.  

Этот сайт занимался мошенничеством,  обещавшим заработать вам криптовалюту Ethereum, если вы будет направлять других людей на их сайт. В их FAQ, говорится, что за 100 посещений по вашей реферальной ссылке, вы заработаете 0.3 Ethereum, что стоит примерно 75 долларов США. Соответственно, за 1000 визитов будет 3 Ethereum (750$). 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Вредоносная атака сопровождается работой трояна-инфостилера (похитителя паролей), который обнаруживается половиной антивирусных движков на сайте VirusTotal. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ss.exe
HOW TO DECRYPT FILES.txt
Decrypter.exe
BotCollector.exe - троян, который притворяется генератором биткоинов, но просто запускает вредоносное ПО.
<random>.exe - случайное название вредоносного файла
ransom.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ethclicks.live
xxxx://ethclicks.live/lo/write.php
xxxx://ethclick.live/ss.exe - payload
xxxx://ethclicks.live/lo/index.html - Panel
Email: india2lock@gmail.com
BTC: 1Whw7gqqi9GeqHixPvgMNo2aiHSSEyPvT
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> 
𝚺  VirusTotal analysis на файл Decrypter.exe >> 
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Marozka Ransomware - март 2019
BulbaCrypt Ransomware - май 2019
HermesVirus HT Ransomware - май 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 мая 2019:

Пост в Твиттере >>

Пост в Твиттере >>

Новые ссылки на аналогичные сайты: 
xxxx://ethchain.live/BotCollector.zip
xxxx://ethchain.live/1.exe
xxxx://ethmoney.live/BotCollector.zip
xxxx://ethmoney.live/1.exe
xxxx://ethcrypto.live/BotCollector.zip
xxxx://ethcrypto.live/1.exe
xxxx://ethpromo.live/BotCollector.zip
xxxx://ethpromo.live/1.exe
xxxx://ethmoney.club/BotCollector.zip
xxxx://ethmoney.club/1.exe

Скриншоты с главной страницы с информацией. 

Обновление от 9 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .CROWN
Записка: HOW TO DECRYPT FILES.txt 
Также используется экран блокировки. 
Email: hghtllfh77137@gmail.com
Файл EXE: God.exe
Результаты анализов: VT + AR + IA
➤ Содержание текстовой записки: 
All your information (documents, databases, backups and other files) on this computer has beenencrypted using the most cryptographic algorithms.
All encrypted files are formatted .CROWN.
This form files .CROWN is a joint development American Hackers.
No system administrator in the world can solve this problem without knowing the password

Drop us an email at the address hghtllfh77137@gmail.com with your PC name
---

 

 

Обновление от 11 июля 2019:

Пост в Твиттере >>

Расширение: .Pox

Записка: HOW TO DECRYPT FILES.txt

Email: vpsimf@gmail.com

URL: xxxx://maper.info

xxxx://kingswagy.ru/Decrypter.exe

xxxx://kingswagy.ru/ransom.jpg

Результаты анализов: VT + VMR + AR

➤ Содержание текстовой записки: 

All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.

All encrypted files are formatted .Pox.

This form files '.Pox' is a joint development American Hackers.

You can only recover files using a decryptor and password, which, in turn, only we know.

It is impossible to pick it up.

Reinstalling the OS will not change anything.

No system administrator in the world can solve this problem without knowing the password

In no case do not modify the files! But if you want, then make a backup.

Drop us an email at the addres vpsimf@gmail.com

You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 

  Tweet on Twitter + Tweet + myTweet

  ID Ransomware (ID as HiddenTear)
Write-up, Topic of Support

Added later: 

Write-up (added on May 26, 2019)

Write-up

Write-up

 Thanks: 

 Frost, Petrovic, JAMESWT, Michael Gillespie
Andrew Ivanov (author)
 *

 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

EZDZ-Locker

EZDZ Ransomware

EZDZ-Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop9.10170, Trojan.Encoder.29852
BitDefender -> Generic.Ransom.GarrantDecrypt.B.*
Malwarebytes -> Ransom.EZDZ
Kaspersky -> Exploit.Win32.UAC.akb
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.E


© Генеалогия: ??? >> EZDZ-Locker > DeathRansom

К зашифрованным файлам добавляется расширение: .EZDZ


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был обнаружен в начале мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На данный момент, видимо, находится в разработке. 

Записка с требованием выкупа называется: HELP_PC.EZDZ-REMOVE.txt

Содержание записки о выкупе:
test
Fg1ikwrUMPoSCSC5Pqinf8QT3lu5S84KTBafvhYS5gBwUD2PzU82deNMs/pznZe6D41eapywzr+4rEoVnFmlRu1Kfx52C7aVrg1hFiU58WL5JOwSXRQuYRKOqxOvCpKhY8OTbJqMLdQm7XdpFtYI8VqLG1DjB53KOpFCrZTkrSCCDnJpkeK+d2mkeymGKlerVrLc2fY2xsx8rTcGdE8Us0YXospMXRTrk2IaoRTe/7ZJznANmCR89TdM+RrkBWOPar4X7I8lR+Qve9EabbNYZ9tLTyqWzW8mtb4fN8lDQlf7CUR2cb66Piaee3KU886VfuBPFtOl2X6qkeRq2SePOnLUNPVEl85Sxhluhjtm6+XyVdPds8I+E/E3GnG9kZwBvn/TaICJtJ6zOC/1w/ZOzSiYY3x+xGi5SaW/UcTLpN5NC3+FLeTdTfcnqUWbcu/zM1BQxNgY0qxFYlsJWo79Eksxt4A7kEDvkRc2xKzRe2SPu95e1ioA0Xk0XLPbk7VLD1WEDB5+c55ugIJA3VQpI1fJtPpV7ZdUqAfKkKQu4C/B8/oc7uMGpe7MCGDOr1KbSQmYxkIarDpZ4K/LRr5gz+n4EDtsFWriZwG3dG7wcU05vQewxHp9hLTdzIgqSTje1Cdin2A809GXyKWnrDnDd26Hrm4fqZPIUTrNLcMSxtc=
test

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_PC.EZDZ-REMOVE.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 мая 2019:
Пост в Твиттере >>
Тестовая версия. 
Расширение: .EZDZ
Записка: HELP_PC.EZDZ-REMOVE.txt
Результаты анализов: VT + AR + AR

Обновление от 28 декабря 2019:
Пост в Твиттере >>
Расширение: .help
Записка: READ_ME.TXT
Email: helpforyoupc@tutanota.com
Результаты анализов: VT + HA + IA

Обновление от 13-14 декабря 2019:
Пост в Твиттере >>
Расширение: .chch
Шифрует без тормозов, на зашифрованном файле может быть даже такое расширение: 
.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch
Записка: READ_ME.TXT
Email: squadhack@email.tg
Файл: locker.exe
Результаты анализов: VT + IA + AR + JSB

---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29852
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.A
Malwarebytes -> Ransom.Squad
Rising -> Trojan.Generic!8.C3 (CLOUD)
Symantec -> Ransom.Chy
TrendMicro -> Ransom.Win32.DEATHRANSOM.B
---

 

➤ Содержание записки: 
Your files are encrypted! 
All your important data has been encrypted.
To recover data you need decryptor.
To get the decryptor you should:
Send 1 test image or text file squadhack@email.tg
In the letter include your personal ID (look at the end of this document).
We will give you the decrypted file and assign the price for decryption all files 
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!
Only squadhack@email.tg     can decrypt your files 
Do not trust anyone  squadhack@email.tg
Do not attempt to remove the program or run the anti-virus tools 
Attempts to self-decrypting files will result in the loss of your data 
Decoders other users are not compatible with your data, because each user's unique encryption key 
ID: lXzW6O/wR3+idOrfP7zPVbNjQRl8hgXLFrslgbzZx3ftD/ZY8nIH [всего 684 знаков]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, JAMESWT
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.