Buran-Ghost

Ghost Ransomware
Buran-Ghost Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, но есть запись в коде "THIS IS GHOST!!! MADE IN USSR". На файле написано: Rowrub.exe, "Playtech* Measuresentence", ghost.exe . Написан на Borland Delphi. 

Обнаружения: 
DrWeb -> Trojan.PWS.DanaBot.122
BitDefender -> Trojan.GenericKD.41355537
Symantec -> Trojan.Gen.MBT
Malwarebytes -> Ransom.Jamper
AhnLab-V3 -> Trojan/Win32.BuranRansom.R275107
ALYac -> Trojan.Ransom.VegaLocker

© Генеалогия: Buran >> Buran-Ghost

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ghost или настраиваемое.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину - середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ===HOW TO RECOVER ENCRYPTED FILES===.TXT

Содержание записки о выкупе:
Your important files have been encrypted. We can help you decrypt them.
If you are interested in purchasing our decryptor, please contact us by email:
e95c12d08b14@protonmail.com
e95c12d08b14@airmail.cc

Перевод записки на русский язык:
Ваши важные файлы зашифрованы. Мы можем помочь вам дешифровать их.
Если вы намерены приобрести наш декриптор, пишите нам на email:
e95c12d08b14@protonmail.com
e95c12d08b14@airmail.cc

Информатором также выступает запись в коде, доступная для исследователей:

"BEWARE... THIS IS GHOST!!! MADE IN USSR"

Технические детали

Нацелен на европейские страны. Распространяется с помощью трояна DanaBot (внедряет вредоносный скрипт в браузер, собирает email-адреса, логин-пароли, скрытно рассылает спам от имени жертвы и пр.). Для компрометации используются email-письма, имитирующие счета от различных компаний. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск.

 

Использует иконку от старой версии Google Chrome.

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кто тех, что есть в белом списке расширений и белом списке файлов (см. ниже). Подробнее >>
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:  
.bat, .cmd, .com, .cpl, .dll, .exe, .ghost, .log, .msc, .msp, .pif, .scr, .sys

Белый список файлов: 
boot.ini; bootfont.bin; bootsect.bak; desktop.ini; defender.exe; iconcache.db; master.exe; master.dat; ntdetect.com; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; temp.txt; thumbs.db; unlock.exe; unlocker.exe

Файлы, связанные с этим Ransomware:
===HOW TO RECOVER ENCRYPTED FILES===.TXT
Rowrub.exe
<random>.exe - случайное название вредоносного файла
969DB87A.ghost
996E.exe
lsass.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\76E69905.ghost
C:\Documents and Settings\Administrator\Local Settings\Temp\969DB87A.ghost
C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe

Записи реестра и действия, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Borland\Delphi\Locales Access
HKEY_CURRENT_USER\Software\Borland\Locales Access
HKEY_CURRENT_USER\Software\Ghost Access
HKEY_CURRENT_USER\Software\Ghost\Knock Read, Write
HKEY_CURRENT_USER\Software\Ghost\Service Access
HKEY_CURRENT_USER\Software\Ghost\Service\Private Write
HKEY_CURRENT_USER\Software\Ghost\Service\Public Write
HKEY_CURRENT_USER\Software\Ghost\Stop Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor Access
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar Read
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Access
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL Read
HKEY_LOCAL_MACHINE\Software\Borland\Locales Access
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor Access
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\CompletionChar Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DefaultColor Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DelayedExpansion Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DisableUNCCheck Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\EnableExtensions Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\PathCompletionChar Read
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://iplogger.ru/1CZM57.txt - сохраняется как PNG-изображение
Email: e95c12d08b14@protonmail.com, e95c12d08b14@airmail.cc
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Дополнительно: 
GitHub >>

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ДЕШИФРОВЩИК === DECRYPTER aka UNLOCKER ===

Пост в Твиттере >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8-9 июня 2019:
Пост в Твиттере >>
"BEWARE GHOST...MADE IN USSR"

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet  + Tw + Tw
 ID Ransomware (ID as Buran)
 Write-up, Topic of Support
 Write-up about DanaBot >> 

 Thanks: 
 Vitali Kremez, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Euclid

Euclid Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Разработка: Euclid team. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .euclid

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: how to recover.txt

Содержание записки о выкупе:
[+] What's happned ? [+]
all your files have been encrypted(locked) by us
but no worries you can easilly recover(decrypt) your files 
just message us and we'll help you out 
[+] what should i do [+]
keep calm and message us 
[+] do you garantee recovery of my files ?[+]
yeah 100% , it our job all your files are recoverable 100% sure 
no matter how big they are or what format(type) they were
[+] well then how should i contact you [+]
we use popular full secure telegram messenger for communicating, 
it's free and 100% secure, download it and sign up using any phone number (your phone number is kept by telegram and hidden for us or anyone else )
then copy paste the folling link in the messenger and click or enter our id in the search bar
then click "Send messages"
link :: https://t.me/SalsaRecovery
ID: @SalsaRecovery
[+] how do you ensure me you can recover my files[+]
well we can give you free decryption of a file for ensuring 
pick a random file (no matter what size and type) send it us and will give you back the decrypted(original) file
please note that if the file contanains valuable info we'll ask for another file 
[+] i want technical details of the encryption [+]
we use 2*RSA2048 + salsa20/20 algorithm for encrytion 
and new random salsa key is genrated for each file
rsa is a method of encrypting that has different keys for decrytion and encryption (public key and private key) ,
so it's impossible to recover your files without our private key
Mathematics science proves that 
your decryion keys are stored in : decryption_keys.euclidkeys file ,we need it for decryption(only we can read it)
don't worry we're here to help you
[+] can i message you if i don't want to pay any thing [+]
Sure we'll be happy to hear any thing from you
we'll guide you to protect your data after this
and secure your system for free
BEST WISHES Euclid team

Перевод записки на русский язык:
[+] Что случилось? [+]
все ваши файлы были зашифрованы (заблокированы) нами
но не беспокойтесь, вы можете легко восстановить (расшифровать) ваши файлы
просто напишите нам, и мы поможем вам
[+] что мне делать [+]
сохраняй спокойствие и сообщи нам
[+] вы гарантируете восстановление моих файлов? [+]
да 100%, это наша работа, все твои файлы можно восстановить на 100%
независимо от того, насколько они велики или какого формата (типа) они были
[+] ну тогда как мне с тобой связаться [+]
мы используем популярный полностью безопасный Telegram для общения,
это бесплатно и на 100% безопасно, загрузите его и зарегистрируйтесь, используя любой номер телефона (ваш номер телефона хранится в Telegram и скрыт для нас или кого-либо еще)
затем скопируйте и вставьте следующую ссылку в мессенджер и нажмите или введите наш идентификатор в строке поиска
кликните "Send messages"
ссылка :: https://t.me/SalsaRecovery
ID: @SalsaRecovery
[+] как вы убедитесь, что вы можете восстановить мои файлы [+]
ну мы можем дать вам бесплатную расшифровку файла для гарантии
выберите случайный файл (независимо от его размера и типа), отправьте его нам и вернем вам расшифрованный (оригинальный) файл
обратите внимание, что если файл содержит ценную информацию, мы попросим другой файл
[+] я хочу технические детали шифрования [+]
мы используем алгоритм шифрования 2*RSA2048 + salsa20/20
и новый случайный ключ сальсы генерируется для каждого файла
rsa - это метод шифрования, который имеет разные ключи для дешифрования и шифрования (открытый ключ и закрытый ключ),
поэтому невозможно восстановить ваши файлы без нашего закрытого ключа
Математика доказывает, что
Ваши ключи дешифрования хранятся в файле: decryption_keys.euclidkeys, он нам нужен для расшифровки (только мы можем его прочитать)
не волнуйтесь, мы здесь, чтобы помочь вам
[+] Могу ли я отправить вам сообщение, если я не хочу ничего платить [+]
Конечно, мы будем рады услышать что-то от вас
мы поможем вам защитить ваши данные после этого
и обезопасить свою систему бесплатно
ЛУЧШИЕ ПОЖЕЛАНИЯ от Euclid team.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how to recover.txt
decryption_keys.euclidkeys
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
Telegram: @SalsaRecovery

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Bisquilla

Bisquilla Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Bisquilla. На файле написано: BisquillaRansomware.exe. Написан на языке программирования .NET.

Обнаружения:
DrWeb -> Trojan.Ransom.636
BitDefender -> Gen:Variant.Johnnie.178410
ESET-NOD32 -> A Variant Of Generik.KCHZCRH
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Agent.Sunv
TrendMicro -> Ransom_Agent.R002C0RGP20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Bisquilla 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wrk


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской выступает экран блокировки без требований выкупа. 

 

 

Содержание текста на экране:
Bisquilla Ransomware - V1.0.0
Please relax and enjoy a warm cup of tea while I encrypt your files.
Do not turn off your computer, this can corrupt your files.
File Encryption Completed

Перевод текста на русский язык:
Bisquilla Ransomware - V1.0.0
Отдохни и выпей чашку горячего чая, пока я шифрую ваши файлы.
Не выключай компьютер, это может повредить твои файлы.
Шифрование файла завершено

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
BisquillaRansomware.exe
BisquillaRansomware.pdb

master_pri_key.info
master_public_key.info

Маскируется под Google Software Update. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\projetos\BisquillaRansomware\src\BisquillaRansomware\BisquillaRansomware\obj\Debug\BisquillaRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
DBWinMutex
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Bisquilla)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jack, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Dodger

Dodger Ransomware
Omegax0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: dodgeR (указано в описании файла). На файле написано: dodgeR.exe

Обнаружения:
DrWeb -> Trojan.Encoder.28425
BitDefender -> Trojan.GenericKD.41321727
Symantec -> Trojan.Gen.MBT
VBA32 -> TScope.Trojan.MSIL
ALYac -> Trojan.Ransom.Filecoder

© Генеалогия: HiddenTear >> Blank > Dodger, Litra

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .dodger

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


ОБразец этого крипто-вымогателя бл найден в начале июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По всей видимости ещё в разработке. 

Запиской с требованием выкупа выступает экран блокировки с диалоговым окном, в котором указан email вымогателя: 

Содержание записки о выкупе:
Oh no!
Looks like your files are screwed now...
There is nothing much to do about it...
It's your own fault.
[SUPPORT]
---
Feel free to send hate: omegax0@protonmail.com
[OK]

Перевод записки на русский язык:
О нет!
Похоже, что ваши файлы пострадали ...
Тут уж ничего не поделаешь ...
Это твоя вина.
[СЛУЖБА ПОДДЕРЖКИ]
---
Можете излить злость: omegax0@protonmail.com
[OK]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .docx, .flv, .gif, .ini, .jpg, .m4a, .mkv, .mp3, .mp4, .pdf, .png, .swf, .xlsx, .wav 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dodgeR.exe
ppOZLEmPr2.exe
FileCoAuth.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: omegax0@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Litra)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.