PPDDDP

PPDDDP Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в BTC, которую нужно заплатить, чтобы расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ppdddp

Фактически используется составное  расширение: .support@anonymous-service.cc.ppdddp

Шифруются не все файлы. В каждой папке для шифрования выбираются лишь некоторые файлы, которые после шифрования получают составное название, состоящее от названия директории, учетной записи, типа файла и чего-то еще. Зашифрованный файл имеет псевдо-XML с оригинальным именем файла и другим именем файла в конце. Только корень папки показывает зашифрованный файл, другие элементы в папке — это пустые значки с исходным именем файла. Другие файлы, видимо, повреждены (0Кб). 

Примеры зашифрованных файлов и их оригинальные названия: 
2019 Both Boats.jpg - Pictures.support@anonymous-service.cc.ppdddp
adwcleaner.db - AdwCleaner.support@anonymous-service.cc.ppdddp
NTUSER.DAT - administrator.support@anonymous-service.cc.ppdddp
Agent_Installer.msi - root.support@anonymous-service.cc.ppdddp


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: FileRestore.html

Содержание записки о выкупе:
Your files has been encrypted!
Hi
We have encrypted your files. Yes we know that it's shitty but it's not a disasster.
You are able to decrypt all files without aftermath for a 48 hours. 
If time will expire you'll unable to restore your files. 
We'll format your disk and delete decryption keys from our database.
Don't waste your time to check backups, it's also encrypted or deleted.
Your ID: 507e83c9983ac00bcd5331991bd***** [total 32 characters]
You can buy BTC on one of this sites:
https://www.bestchange.com/paypal-usd-to-bitcoin.html
To get the decryptor you need to send mail with your ID to support@anonymous-service.cc Then you will receive mail with price, instruction for payment and decryption.
Attention!
No Payment = No decryption
You really get the decryptor after payment
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы были зашифрованы!
Привет
Мы зашифровали ваши файлы. Да, мы знаем, что это дерьмо, но это не катастрофа.
Вы можете расшифровать все файлы без последствий в течение 48 часов.
Если время истечет, вы не сможете восстановить свои файлы.
Мы отформатируем ваш диск и удалим ключи дешифрования из нашей базы данных.
Не тратьте время на проверку резервных копий, они также зашифрованы или удалены.
Ваш ID: 507e83c9983ac00bcd5331991bd***** [всего 32 знака]
Вы можете купить BTC на одном из следующих сайтов:
https://www.bestchange.com/paypal-usd-to-bitcoin.html
Чтобы получить расшифровщик, вам необходимо отправить письмо с вашим ID на support@anonymous-service.cc. Затем вы получите письмо с ценой, инструкцией по оплате и расшифровкой.
Внимание!
Нет оплаты = нет расшифровки
Вы действительно получаете расшифровщик после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileRestore.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support@anonymous-service.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 марта 2020:
Пост на форуме >>
Расширение: .dddpp
Записка: FileRestore.html
Email: crptcloud@protonmail.ch

 

➤ Содержание записки:
Your files has been encrypted!
Hi
We have encrypted your files. Yes we know that it's shitty but it's not a disasster.
You are able to decrypt all files without aftermath for a 48 hours. 
If time will expire you'll unable to restore your files. 
We'll format your disk and delete decryption keys from our database.
Don't waste your time to check backups, it's also encrypted or deleted.
Your ID: a8e76a349f865b6299983810252***** [всего 32 знака]
You can buy BTC on one of this sites:
https://www.bestchange.com/paypal-usd-to-bitcoin.html
To get the decryptor you need to send mail with your ID to crptcloud@protonmail.ch Then you will receive mail with price, instruction for payment and decryption.
Attention!
No Payment = No decryption
You really get the decryptor after payment
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

TheDMR, DMR64

TheDMR Ransomware

Aliases: DMR64, Clown, NotFound, Clown+, Valley, ALVIN

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500000-1000000 долларов, чтобы вернуть файлы. Оригинальное название: TheDRM или DRM. На файле написано: DMR_1.zip. Среда разработки: Visual Studio 2015, библиотека Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.30333, Trojan.Encoder.30387, Trojan.Encoder.30388, Trojan.Encoder.30406, Trojan.Encoder.32566

ALYac -> Trojan.Ransom.BigBobRoss

BitDefender -> Trojan.GenericKD.32786061, Trojan.GenericKD.32812671

ESET-NOD32 -> Win32/Filecoder.NZL, Win32/Filecoder.NZN, Win32/Delf.NBX

Kaspersky -> Hoax.Win32.FakeRansom.hn, Trojan-Ransom.Win32.Gen.ucd, Trojan-Ransom.Win32.DMR.e

Microsoft -> Trojan:Win32/Wacatac.B!ml, Trojan:Win32/Casdet!rfn

Symantec -> Trojan.Gen.MBT, Trojan Horse

TrendMicro -> Ransom.Win32.DMR.A, Ransom_Filecoder.R06CC0DK420
VBA32 -> BScope.Trojan.Wacatac, BScope.Trojan.Mansabo
---

© Генеалогия: ✂️ BigBobRoss + прочее > TheDMR > Flamingo

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .DMR64

Кроме того, к имени файла добавляется ID в формате [id=XXXXXXXX], как ранее в некоторых вариантах BigBobRoss Ransomware. 

Пример зашифрованных файлов: 
[id=FEABA71D]Config.ini.DMR64
[id=C4BA3647]Chrysanthemum.jpg.DMR64

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! READ THIS !!!.hta

Содержание записки о выкупе:
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: Agent.DMR@protonmail.com
Write this ID in the subject e-mail:FEABA***
Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: Agent.DMR@aol.com
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с самым надежным шифрованием. Вы можете вернуть все свои файлы, если хотите восстановить файлы, напишите нам на email: Agent.DMR@protonmail.com
Напишите этот идентификатор в теме письма: FEABA***
Только если вы не получили ответ с первого адреса email в течение 48 часов, используйте этот альтернативный адрес email: Agent.DMR@aol.com
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более одной недели. Цена зависит от того, как быстро вы напишите нам.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов должен быть менее 1 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Как получить биткойны
Вы можете купить биткойн здесь:
https: localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http: www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует библиотеку CryptoPP (Crypto++) версии 8.2.

Список файловых расширений, подвергающихся шифрованию:
Шифрует все подряд, даже свой исполняемый файл. См. видеобзор в конце статьи. 
Это, разумеется, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DMR_1.zip
TheDMR.exe
background.png
!!! READ THIS !!!.hta
<random>.exe - случайное название вредоносного файла

Оригинальное название проекта: 
C:\Users\rpipc\Documents\Visual Studio 2015\Projects\TheDMR_Encrypter\Release\TheDMR_Encrypter.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Agent.DMR@protonmail.com, Agent.DMR@aol.com
BTC: нет данных
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BigBobRoss Ransomware - с января по ноябрь 2019

TheDMR Ransomware - с декабря 2019 по октябрь 2020 с вариантами DMR64, Clown, NotFound, Clown+, Valley, ALVIN

Flamingo Ransomware - с сентября 2020 в 2021 год с вариантами Flamingo, LandSlide, Lizard, DoNotWorry

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 16 декабря 2019:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [SupportClown@elude.in][id=86973210]Install.log.notfound
Email: SupportClown@elude.in
Записка: !!! READ THIS !!!.hta

 

➤ Содержание записки: 
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: SupportClown@elude.in
Write this ID in the subject e-mail:86973210
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.
---
Файл: NotFound.exe
Результаты анализов: VT + IA 
➤ Обнаружения: 
Dr.Web -> Trojan.Encoder.30388
BitDefender -> DeepScan:Generic.Ransom.DMR.2D5D28A
ESET-NOD32 -> A Variant Of Win32/Filecoder.Clown.A

Обновление от 20 декабря 2019:
Оригинальное название проекта: TheDMR_Encrypter.pdb
Сообщение >>
Расширение: .clown+
Пример зашифрованного файла: [SupportClown@elude.in][id=C4BA3678]program.ex$.exe.clown+
Email: SupportClown@elude.in
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt

 

Путь проекта: C:\Users\rpipc\Documents\Visual Studio 2015\Projects\TheDMR_Encrypter\Release\TheDMR_Encrypter.pdb
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30406
BitDefender -> DeepScan:Generic.Ransom.DMR.***
ALYac -> Trojan.Ransom.Clown
ESET-NOD32 -> A Variant Of Win32/Filecoder.Clown.B
Kaspersky -> Trojan-Ransom.Win32.DMR.h
Malwarebytes -> Ransom.DMREncrypter
McAfee -> Ransom-Clown!4F4135FC5B67
Rising -> Ransom.DMR!8.11602 (CLOUD)
TrendMicro -> Ransom.Win32.CLOWNCRYPTOR.AA.***

Обновление от 30 декабря 2019:
Сообщение >>
Маскируется под Clown Ransomware.
Расширение: .clown
Записки: txt-, html-файлы
➤ Содержание txt-записки: 
All personal files on your computer are encrypted?
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: ***
---
Скриншот html-записки:

Обновление от 13-17 апреля 2020:
Сообщение >>
Пост на форуме >>
Топик на другом форуме >>
Расширение: .notfound
Пример зашифрованного файла: [Heeeh98@tutanota.com][id=XXXXXXXX]file001.doc.notfound
Записки: !!! READ THIS !!!.hta
HOW TO RECOVER ENCRYPTED FILES.txt

Email: Heeeh98@tutanota.com, becareful98@aol.com

 

➤ Содержание txt-записки: 
"CLOWN RANSOMWARE"   Your unique ID:"8A420***"
=============================================================================
All personal files on your computer are encrypted!
=============================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
=============================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "Heeeh98@tutanota.com"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
=============================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "becareful98@aol.com"
=============================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:                       
https://www.coindesk.com/information/how-can-i-buy-bitcoins
=============================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!

---
Использованные домены: 
xxxx://testaplication.000webhostapp.com/
xxxx://xred.mooo.com/
xxxx://ocsp.pki.goog/
xxxx://freedns.afraid.org
Загружаемые файлы: 
xxxx://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
xxxx://xred.site50.net/syn/SSLLibrary.dll
xxxx://xred.site50.net/syn/SUpdate.ini
xxxx://xred.site50.net/syn/Synaptics.rar
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
xxxxs://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
xxxxs://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
xxxxs://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
xxxxs://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
Использованные Email: xredline2@gmail.com, xredline3@gmail.com, xredline1@gmail.com

---

Файл: Heeeh98.exe (Synaptics.exe)
Описание: Synaptics Pointing Device Driver
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения: 
DrWeb -> Trojan.DownLoader22.9658
BitDefender -> Dropped:Generic.Ransom.DMR.A7AAA609
Avira (no cloud) -> WORM/Dldr.Agent.gqrxn
ESET-NOD32 -> Win32/Delf.NBX
Malwarebytes -> Trojan.Agent
Tencent -> Virus.Win32.DarkKomet.a
Symantec -> ML.Attribute.HighConfidence

Обновление от 26 апреля 2020:
Пост на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
Email: ancrypted@protonmail.com, ancrypted@keemail.me

Обновление от 20 апреля 2020:

Email: sclown@elude.in

Записки: !!! READ THIS !!!.hta

HOW TO RECOVER ENCRYPTED FILES.txt

Обновление от 27 апреля 2020: 
Расширение: .notfound
Пример заш-файла: [ancrypted@protonmail.com][id=XXXXXXXX]document.xml.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: ancrypted@keemail.me, ancrypted@protonmail.com

 

Обновление от 5 мая 2020:
Топик на форуме >>
Расширение: .notfound
Пример зашифрованного файла: [connectme@elude.in][id=0EA37036]document.docx.notfound
Записка txt: HOW TO RECOVER ENCRYPTED FILES.txt
Записка hta: !!! READ THIS !!!.hta
Email: supportme@elude.in, connectme@elude.in

➤ Содержание txt-записки: 
"CLOWN RANSOMWARE"   Your unique ID:"0EA37***"
===================================================================
All personal files on your computer are encrypted!
===================================================================
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data.
Before paying to send us up to 1 file for free decryption.
The total size of the file must be less than 1Mb (the file should not be important to you).
===================================================================
Don't worry, you can restore all your files.
Without the original key recovery is impossible.
If you want to decrypt your files, you have to pay in Bitcoin.
The price depends on how fast you write to us.
If you want to restore files, write us to the e-mail: "supportme@elude.in"
It is in your interest to respond as soon as possible to ensure the restoration of your files,
Because we won't keep your decryption keys at our server more than one Week because of our security.
===================================================================
Only in case you do not receive a response from the first email address
Withit 24 hours, please use this alternative email adress: "connectme@elude.in"
===================================================================
You can buy bitcoin from here:
https://localbitcoins.net/buy_bitcoins
https://libertyx.com/
https://www.coinmama.com/buy
-You can find other places to buy Bitcoins and beginners guide here:                       
https://www.coindesk.com/information/how-can-i-buy-bitcoins
===================================================================
CAUTION!
1-Using other tools could corrupt your files, in case of using third party software 
We don't give guarantees that full recovery is possible. 
2-Please do not change the name of files or file extension if your files are important to you!
---

➤ Содержание hta-записки: 
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: supportme@elude.in
Write this ID in the subject e-mail:"0EA37***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:connectme@elude.in
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
 Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
•Do not rename encrypted files.
•Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.

Обновление от 17 мая 2020 или раньше:
Расширение: .notfound
Пример зашифрованного файла: [DecodeGuide@Keemail.Me][id=XXXXXXXX]Document.doc.notfound
Email: decodeguide@keepmail.me, supclown@protonmail.ch
BTC: 3Mv279iQFVJthDUEaP21aCNWb28nDuim3N


Обновление от 28 мая 2020:
Расширение: .notfound
Пример зашифрованного файла: 
[backfile99@protonmail.com][id=XXXXXXXX]Document.doc.notfound
Email: backfile99@protonmail.com, recoryfile@tutanota.com

Обновление от 15 августа 2020:

Расширение: .notfound

Пример зашифрованого файла: [decrypt353@aol.com][id=XXXXXXXX]default.vrd.notfound

Записка: HOW TO RECOVER ENCRYPTED FILES.txt

Email: decrypt353@aol.com, sclown@elude.in

➤ Содержание записки: 

"CLOWN RANSOMWARE"   Your unique ID:"{ID}"

================================

All personal files on your computer are encrypted!

================================

TEST OUR TOOL FIRST:

Before you make a payment you should test our tool first for decrypting your data.

Before paying to send us up to 1 file for free decryption.

The total size of the file must be less than 1Mb (the file should not be important to you).

================================

Don't worry, you can restore all your files.

Without the original key recovery is impossible.

If you want to decrypt your files, you have to pay in Bitcoin.

The price depends on how fast you write to us.

If you want to restore files, write us to the e-mail: "decrypt353@aol.com"

It is in your interest to respond as soon as possible to ensure the restoration of your files,

Because we won't keep your decryption keys at our server more than one Week because of our security.

================================

Only in case you do not receive a response from the first email address

Withit 24 hours, please use this alternative email adress: "sclown@elude.in"

================================

You can buy bitcoin from here:

https://localbitcoins.net/buy_bitcoins

https://libertyx.com/

https://www.coinmama.com/buy

-You can find other places to buy Bitcoins and beginners guide here: 

https://www.coindesk.com/information/how-can-i-buy-bitcoins

================================

CAUTION!

1-Using other tools could corrupt your files, in case of using third party software 

We don't give guarantees that full recovery is possible. 

2-Please do not change the name of files or file extension if your files are important to you!

Обновление от 16 августа 2020:
Расширение: .notfound
Пример зашифрованного файла: [adminenc919@cock.li][id=XXXXXXXX]Document.doc.notfound
Записка: !!! READ THIS !!!.hta
Email: adminenc919@cock.li and sirencmoj@cock.li

➤ Содержание hta-записки: 
All your files have been encrypted!
Your documents, photos, databases and other important files have been encrypted with strongest encryption. you can return all your files if you want to restore files, write us to the e-mail: adminenc919@cock.li
Write this ID in the subject e-mail:"5A1E6***"
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week. The price depends on how fast you write to us.
TEST OUR TOOL FIRST:
Before you make a payment you should test our tool first for decrypting your data. Before paying to send us up to 1 file for free decryption. The total size of the file must be less than 1Mb (the file should not be important to you).
Only in case you do not receive a response from the first email address withit 24 hours, please use this alternative email adress:
sirencmoj@cock.li
How to obtain Bitcoins
You can buy bitcoin from here:
https:localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http:www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Using another tools could corrupt your files, in case of using third party software we don't give guarantees that full recovery is possible so use it on your own risk.

Обновление от 17 сентября 2020:

Пост в Твиттере >>

Самоназвание: "Valley Ransomware" 

Расширение: .Valley

Пример зашифрованного файла: [ultrasert77@gmail.com][id=XXXXXXXX]Update.msi.Valley

Записка: HOW TO RECOVER ENCRYPTED FILES.txt

Email: ultrasert77@gmail.com, securityteamex@yandex.com

Результаты анализов: VT + IA

Обновление от 26 октября 2020:

Топик на форуме >>

Пост в Твиттере >>

Самоназвание: ALVIN RANSOMWARE

Расширение: .ALVIN

Пример зашифрованного файла: [rimon.argan@gmail.com][id=XXXXXXXX]file001.jpg.ALVIN

Email: rimon.argan@gmail.com, poeasws@protonmail.com

Записка: HOW TO RECOVER ENCRYPTED FILES.txt

➤ Содержание записки: 

"ALVIN RANSOMWARE"   Your unique ID:"54F49***"

==================================================

All personal files on your computer are encrypted!

==================================================

TEST OUR TOOL FIRST:

Before you make a payment you should test our tool first for decrypting your data.

Before paying to send us up to 1 file for free decryption.

The total size of the file must be less than 1Mb (the file should not be important to you).

==================================================

Don't worry, you can restore all your files.

Without the original key recovery is impossible.

If you want to decrypt your files, you have to pay in Bitcoin.

The price depends on how fast you write to us.

If you want to restore files, write us to the e-mail: "rimon.argan@gmail.com"

It is in your interest to respond as soon as possible to ensure the restoration of your files,

Because we won't keep your decryption keys at our server more than one Week because of our security.

==================================================

Only in case you do not receive a response from the first email address

Withit 24 hours, please use this alternative email adress: "poeasws@protonmail.com"

==================================================

You can buy bitcoin from here:

https://localbitcoins.net/buy_bitcoins

https://libertyx.com/

https://www.coinmama.com/buy

-You can find other places to buy Bitcoins and beginners guide here:  

https://www.coindesk.com/information/how-can-i-buy-bitcoins

==================================================

CAUTION!

1-Using other tools could corrupt your files, in case of using third party software 

We don't give guarantees that full recovery is possible. 

2-Please do not change the name of files or file extension if your files are important to you!

Обновление от 8 сентября 2020: 

Отдельная статья: Flamingo Ransomware >>

Подсемейство с вариантами: Flamingo, LandSlide, Lizard, DoNotWorry

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myTweet+myTweet + Tw + Tw + Tw + Tw
 ID Ransomware (ID as TheDMR)
 Write-up, Topic of Support
 * 

 - небольшой видеообзор, сделанный мной с помощью сервиса Any.Run

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie, GrujaRS
 MalwareHunterTeam, Vitali Kremez
 Emmanuel_ADC-Soft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.