Если вы не видите здесь изображений, то используйте VPN.

понедельник, 30 декабря 2019 г.

C0hen Locker

C0hen Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.15 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Ransomware v1.0 и c0hen locker.exe

 Обнаружения:
DrWeb -> Trojan.Encoder.30269
BitDefender -> Gen:Heur.Ransom.RTH.1
McAfee -> RDN/Ransom
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
TrendMicro -> Ransom_Gen.R011C0PL519
Symantec -> ML.Attribute.HighConfidence

 © Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение: .c0hen


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Ранний образец этого крипто-вымогателя был обнаружен в начале декабря 2019 г. (точнее 2 декабря 2019). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: ***

 Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:
c0hen locker has
infected your PC
Whats happening?
All devices on your network have been infected
All of your computers files have been encrypted with ransomware
Your computer has been infected. You must do as instructed to get your files back.
Donate 0.15 BTC to this wallet
Or:
Download discord and add c0hen*7722 for decryption key discord com/download
BTC wallet: 18Fh68NJrMZCiTqq1VoWaQsSb8pxDjEw6N
[           ]
[decrypt]

 Перевод записки на русский язык:
c0hen locker инфицировал ваш ПК
Что происходит?
Все устройства в вашей сети заражены
Все файлы вашего компьютера зашифрованы с помощью вымогателей
Ваш компьютер был заражен. Вы должны сделать как указано, чтобы вернуть ваши файлы.
Пожертвуйте 0.15 BTC на этот кошелек
Или:
Скачайте discord и добавьте c0hen*7722 для ключа дешифрования discord com/download
BTC-кошелек: 18Fh68NJrMZCiTqq1VoWaQsSb8pxDjEw6N
[           ]
[decrypt]

 Комбинированный скриншот

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Ключ разблокировки: 
12309482354ab2308597u235fnq30045f

Файлы, связанные с этим Ransomware:
c0hen locker.exe
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email:
Discord: c0hen*7722BTC: 18Fh68NJrMZCiTqq1VoWaQsSb8pxDjEw6N
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as c0hen Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jack, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

Nodera, NodeJS

Nodera Ransomware

NodeJS Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (в записке указано 2048), а затем требует выкуп в 0.4 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

 Обнаружения: 
CAT-QuickHeal -> VBS.NoderaRansom.36592, JS.NoderaRansom.36593
ALYac -> Trojan.Downloader.VBS.Agent
BitDefender -> VBS.ObfDldr.27.Gen
DrWeb -> VBS.DownLoader.1814
ESET-NOD32 -> VBS/Filecoder.F
Kaspersky -> HEUR:Trojan-Downloader.Script.Generic, HEUR:Trojan.Script.Generic
Microsoft -> Ransom:VBS/Filecoder.G!MTB
Rising -> Trojan.Downloader!1.A537 (CLASSIC)
Symantec -> VBS.Downloader.Trojan, Trojan Horse
TrendMicro -> TROJ_FRS.0NA104BP20, HEUR_VBS.DL1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: платформа Node.js >> Nodera (NodeJS)
Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .encrypted
В других вариантах может быть любое другое расширение. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на конец декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке и активно не распространяется. 

 Записка с требованием выкупа называется: How-to-buy-bitcoins.html
В других вариантах может быть любая другая. 


Содержание записки о выкупе:
Your files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The single copy of the private key, which will allow to decrypt files, located on a remote server on the Internet. The server will destroy the key after a March 1, 2018. After that, nobody will be able to restore files ... To obtain the private key for this computer, you need to send 0.4 BTC to bitcoin address 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
You can easily delete this software, but know that without it, you will never be able to get your original files back. Disable your antivirus to prevent the removal of this software. When your transaction will be verified and confirmed you will receive your private key.
Approximate destruction time of your private key March 1, 2018
How to buy bitcoins
Xchange.cash
24paybank.com
Change.me
Kassa.cc
Change.am
Coinbase.com
more options
Bestchange.com

 Перевод записки на русский язык:
Ваши файлы зашифрованы! Шифрование сделано с уникальным открытым ключом RSA-2048, созданного для этого компьютера. Для расшифровки файлов вам надо получить закрытый ключ. Единственная копия закрытого ключа, которая позволит расшифровать файлы, находится на удаленном сервере в Интернете. Сервер уничтожит ключ после 1 марта 2018 года. После этого никто не сможет восстановить файлы... Чтобы получить закрытый ключ для этого компьютера, вам надо отправить 0.4 BTC на биткойн-адрес 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
Вы можете легко удалить эту программу, но знайте, что без нее вы никогда не сможете вернуть свои исходные файлы. Отключите антивирус, чтобы предотвратить удаление этой программы. Когда ваша транзакция будет проверена и подтверждена, вы получите свой закрытый ключ.
Примерное время уничтожения вашего закрытого ключа 1 марта 2018 г.
Как купить биткойны
Xchange.cash
24paybank.com
Change.me
Kassa.cc
Change.am
Coinbase.com
больше вариантов
Bestchange.com

Технические детали


Nodera использует платформу Node.js, чтобы инфицировать ОС Windows. Node.js - это кроссплатформенная среда выполнения JavaScript с открытым исходным кодом, которая выполняет код JavaScript вне браузера. Построена на движке V8 JavaScript. V8 - это высокопроизводительный движок JavaScript и WebAssembly от Google с открытым исходным кодом, написанный на C ++. Используется в Chrome и Node.js, среди прочих. Реализует ECMAScript и WebAssembly и работает в системах Windows 7-10, macOS 10.12+ и Linux, использующих процессоры x64, IA-32, ARM или MIPS. V8 может работать автономно или может быть встроен в любое приложение C++.

 Пользователи могут легко заразиться этим Nodera Ransomware при просмотре в Интернете, либо щелкнув по вредоносному файлу HTA, либо когда он используется в качестве вредоносной рекламы.

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How-to-buy-bitcoins.html - название файла с требованием выкупа
Decrypt-your-files.bat
5e3dfe020da258c17699ee7b6ca48926d04a3c26b4643d036d27363299dc3987.vbs
GFp0JAk.exe
GFp0JAk.vbs
bootstrap_node.js
module.js
next_tick.js
<random>.js - случайное название вредоносного файла
Комерческое предложение.doc.vbs
privkey.pm2.enc


См. также текст в окне Decrypt-your-files.bat
 
Вероятно, NodeJS использовался и в 2018 году. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
С помощью следующих записей вредонос пытается обеспечить себе постоянную загрузку с системой. 
%Userprofile%\AppData\Local\GFp0JAk
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\  "Microsoft Office", "Startup", "Windows" 
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
URL: xxxxs://nodejs.org/download/release/latest-v8.x/win-x86/node.exe
Email:
BTC: 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Ravi Gidwani, JAMESWT, GrujaRS
 Andrew Ivanov (author)
 Quick Heal Security
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Автор: на

пятница, 27 декабря 2019 г.

Charmant

Charmant Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

 Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: ✂️ GarrantyDecrypt > Charmant

 К зашифрованным файлам добавляется расширение: .charmant


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый пострадавший из Германии. 

 Записка с требованием выкупа называется: #RECOVERY#.txt

Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our email - charmant@firemail.cc
Or contact us via jabber - charmant@jabb.im
Jabber (Pidgin) client installation instructions, you can find on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
tell your unique ID
EsKfSNXa2cKztW88OmHconF0ShkC0TMIvtCNrvg/bGkbtCv*** [всего 1368 знаков]

 Перевод записки на русский язык:
Все ваши файлы зашифрованы !!!
Пишите на наш email - charmant@firemail.cc
Или свяжитесь с нами через jabber - charmant@jabb.im
Инструкции по установке клиента Jabber (Pidgin) вы можете найти на YouTube - https://www.youtube.com/results?search_query=pidgin+jabber+install 
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
сообщите свой уникальный ID
EsKfSNXa2cKztW88OmHconF0ShkC0TMIvtCNrvg/bGkbtCv*** [всего 1368 знаков]---
Текст записки кажется знакомым. Некоторые элементы совпадают, другие изменяются на субъективной основе. Это похоже на отдельную (родственную) модификацию GarrantyDecrypt Ransomware, но предположение не было подтверждено Майклом Джиллеспи, который проанализировал зашифрованные файлы. 
Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#RECOVERY#.txt
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: charmant@firemail.cc
Jabber: charmant@jabb.im
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

суббота, 21 декабря 2019 г.

DecYourData

DecYourData Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

Фактически используется составное расширение:  id-42L1AP5921PZ [decyourdata@protonmail.com]_all-files-encrypted

 Шаблон добавляемого расширения можно представить в формате: id-<random_ID{12}>[<email>]_all-files-encrypted 

 Примечательно, что "точка" не используется. 

 Примеры зашифрованных файлов:
Assets 2019.xlsx id-42L1AP5921PZ [decyourdata@protonmail.com]_all-files-encrypted
DataSource.xss id-42L1AP5921PZ [decyourdata@protonmail.com]_all-files-encrypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется по шаблону: Help for decrypting id-<random_ID> [decyourdata@protonmail.com].txt

Пример:
Help for decrypting id-42L1AP5921PZ [decyourdata@protonmail.com].txt
Записка с требованиями выкупа довольно короткая. 


Содержание записки о выкупе:
All your data have been locked. Want restore your data?
Fill subject with your ID like this: id-xxxxx
Email: decyourdata@protonmail.com

 Перевод записки на русский язык:
Все ваши данные блокированы. Хотите вернуть ваши данные?
Напишите тему своим ID примерно так: id-xxxxx
Email: decyourdata@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Help for decrypting id-42L1AP5921PZ [decyourdata@protonmail.com].txt
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: decyourdata@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Обновление от 26 января 2020: 
Пост в Твиттере >>
Пост на форуме >>
Пост на форуме >>
Расширение (шаблон), 'пробел' вместо 'точки':  id-<random_ID{12}>[<email>]_all-files-encrypted 
Пример зашифрованного файла:  2006.doc id-P5MJ89821N2Z [backtonormal@tutanota.com]_all-files-encrypted
Записка (шаблон): Help for decrypting id-<random_ID> [backtonormal@tutanota.com].txt
Записка (пример): Help for decrypting id-P5MJ89821*** [backtonormal@tutanota.com].txt
Email: backtonormal@tutanota.com, backtonormal@vistomail.com

➤ Содержание записки: 
All your data have been locked. Do you want to restore your data?
Fill subject with your ID like this: id-xxxxx
Email: backtonormal@tutanota.com
If we do not reply within two days, send your ID to this email:
backtonormal@vistomail.com
---
 Ответ вымогателей на запрос пострадавшего: 
1.  Decoding cost
The cost of decryption is $5,000 (For both ids together)
id-P5MJ89821*** > $5,000
id-SY6L517ME*** Server cs22-v-alt > We will send this id for FREE because there was no best hard and important files after buy first id.
We receive payment only in BITCOIN. (Bitcoin is a form of digital currency)
-------------------------
2.  Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible.
-------------------------
3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.
-------------------------
4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet address: 1RTvJ9ygzWm74g1WuNcLuQMHXiMtL5hP1
As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
-------------------------
5.  The process of buying bitcoins:
The easiest way to buy bitcoins: https://buy.bitcoin.com/
The easiest way to buy bitcoins: https://localbitcoins.com/
https://www.bitpanda.com/
https://paxful.com/
https://www.abra.com/
FOR   CHINA: https://www.huobi.com/
https://www.bitoex.com/
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as DecYourData)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *