Snake-Ekans

Snake-Ekans Ransomware

Ekans-Snake Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные атакованной корпоративной сети с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: update.exe. Написан на Golang. 
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.41204, Trojan.Encoder.30786, Trojan.Encoder.31986

BitDefender -> Gen:Win32.AV-Killer.ItW@aei5Gqj
ESET-NOD32 -> A Variant Of Generik.EABZHLK
Kaspersky -> Trojan.Win32.Antavmu.asdd
McAfee -> Trojan-Ransom.b
Symantec -> ML.Attribute.HighConfidence, Downloader
---

© Генеалогия: предыдущие Go Ransomware >> Ekans-Snake

К зашифрованным файлам никакое расширение не добавляется. Вместо расширения в зашифрованным файлам добавляется файловый маркет EKANS. это слов представляет собой обратно прочитанное "Snake" (англ. змея). Это было взято в название статьи и написано на логотипе статьи.

Изображение — логотип статьи

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г. Первая загрузка на VT была 26 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Fix-your-files.txt

Содержание записки о выкупе:
What happened to your files?
---
We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more -
all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now.
But dont worry!
You can still get those files back and be up and running again in no time.
---
How to contact us to get your files back?
---
The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.
Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with
better cyber security in mind, if you are interested in purchasing the decryption tool contact us atc bapcocrypt@ctemplar.com
---
How can you be certain we have the decryption tool?
---
In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets),
We will send them back to you decrypted.

Перевод записки на русский язык:
Что случилось с вашими файлами?
---
Мы взломали вашу корпоративную сеть и зашифровали данные на ваших компьютерах. Зашифрованные данные включают в себя документы, базы данных, фотографии и многое другое -
все они были зашифрованы с алгоритмами шифрования военного уровня (AES-256 и RSA-2048). Вы не можете получить доступ к этим файлам прямо сейчас.
Но не волнуйтесь!
Вы все еще можете вернуть эти файлы и быстро начать работу.
---
Как связаться с нами, чтобы вернуть ваши файлы?
---
Единственный способ восстановить ваши файлы - это приобрести инструмент дешифрования, загруженный закрытым ключом, который мы создали специально для вашей сети.
После запуска на затронутом компьютере инструмент расшифрует все зашифрованные файлы, и вы сможете возобновить повседневные операции, желательно с лучшей кибербезопасностью, если вы заинтересованы в приобретении инструмента дешифрования, свяжитесь с нами по адресу bapcocrypt@ctemplar.com
---
Как вы можете быть уверены, что у нас есть инструмент для расшифровки?
---
В вашей почте к нам прикрепите до 3 файлов (до 3 МБ, без баз данных или электронных таблиц),
Мы отправим их вам обратно в расшифрованном виде.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Между выполнением вредоносного файла и началом шифрования файлов может пройти несколько часов. По какой-то причине этот вредонос не торопится шифровать файлы.

➤ В конце зашифрованных файлов есть файловый маркер: EKANS

 

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в списке пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.bat, .blf, .cmd, .config, .devicemetadata-ms, .dll, .docx, .exe, .ico, .lnk, .manifest, .mui, .olb, .ps1, .regtrans-ms, .settingcontent-ms, .sys, .tlb, .tmp, 

Пропускаемые файлы:
desktop.ini
iconcache.db
ntuser.dat
ntuser.ini
ntuser.dat.log1
ntuser.dat.log2
usrclass.dat
usrclass.dat.log1
usrclass.dat.log2
ntldr
NTDETECT.COM
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
ctfmon.exe
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаемые папки с файлами:
bootmgr
bootnxt
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\

Файлы, связанные с этим Ransomware:
Fix-your-files.txt
crypt.go
update.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
EKANS

Публичный RSA-ключ:
-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEAyQ+M5ve829umuy9+BSsUX/krgdF83L3m8/uxRvKX5EZbSh1+buON
ZYr5MjfhrdiOGnrbB1j0Fy31U/uzvWcy7VvK/zcsO/5aAhujhHB/qMAVpZ8zT5BB
ujT1Bvsith/BXgtM99MixD8oZ67VDZaRM9TPE89WuAjnaBZORrk48wFcn1DOAAHD
Z9z9komtqIH1fm3Y0Q6P76nUscLsYOme082L217Th/lTMoqqs4cF2rn9O9Vp4V9U
aCs4XVxGSpcuqbIscfpf0cm44P2eOEk+sbZdahO9C6fezt7YF4OCJ4Vz3qqMD6z4
+6d7FRxUu6k3Te2T2bWBZnsDO30pYFi/gwIDAQAB
-----END RSA PUBLIC KEY-----

Сетевые подключения и связи:
Email: bapcocrypt@ctemplar.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >> - reanalyze IA> + IA>
ᕒ  ANY.RUN analysis >>  AR> AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 января 2020:

Пост в Твиттере >>
Записка: Fix-Your-Files.txt
Мьютекс: Down With Bin Salman
Файл проекта: C:\Users\Admin\Desktop\Dustman\Furutaka\drv\agent.plain.pdb

Обновление от 12 января 2020:
Мьютекс: EKANS
Результаты анализов: VT + IA + AR + VMR + JSA

Обновление от 12 июня 2020:
Статья на сайте BleepingComputer >>
Результаты анализов: VT + IA + JSA
➤ Обнаружения:
ALYac -> Trojan.Ransom.SnakeLocker
Avast/AVG -> Win32:Trojan-gen
Avira (no cloud) -> TR/Injector.ryxmy
BitDefender -> Gen:Variant.Ransom.Ekans.3
DrWeb -> Trojan.Encoder.31986
Kaspersky -> Trojan-Ransom.Win32.Snake.e
Malwarebytes -> Ransom.Ekans
McAfee -> Ransom-Ekans!7DDB09DB3FB9
Rising -> Ransom.Snake!8.1170E (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Ammt
TrendMicro -> Ransom.Win32.EKANS.D


Обновление от 7 января 2021:

Сообщение >>

Результаты анализов: IA + VT 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Snake-Ekans)
 Write-up, Topic of Support
 * 

Added later:
Write-up (BleepingComputer, on January 8, 2020)
*
*

 Thanks: 
 Vitali Kremez, Michael Gillespie, sysopfb
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pashka, Quimera Crypter

Pashka Ransomware

Quimera Crypter (Chimera) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender -> Trojan.GenericKD.32910233
Kaspersky -> Trojan.Win32.SelfDel.hlap
TrendMicro -> Mal_Neb-2
Symantec -> ML.Attribute.HighConfidence
Microsoft -> Trojan:Win32/Wacatac.B!ml
VBA32 -> Trojan.Wacatac
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pashka


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_ME_RECOVER_MY_FILES.txt

Содержание записки о выкупе:
Atention! all your important files were encrypted!
to get your files back send 0.03 Bitcoins and contact us with proof of payment and your Unique Identifier Key.
We will send you a decryption tool with your personal decryption password.
Where can you buy Bitcoins:
https://www.coinbase.com
https://localbitcoins.com
Contact: unlockransomware@protonmail.com.
Bitcoin wallet to make the transfer to is:
3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu
Unique Identifier Key (must be sent to us together with proof of payment): 
-----------------------------------------------------------------------------------------
gI8qDdI4GUgivJyIfwGjnM4e6RApVok9ZzvrSKaYl2Ta1ZVA/DCT32*** [всего 344 знака]
-----------------------------------------------------------------------------------------

Перевод записки на русский язык:
ВНИМАНИЕ! все ваши важные файлы зашифрованы!
чтобы вернуть ваши файлы, отправьте 0.03 биткоина и свяжитесь с нами, чтобы подтвердить платеж и ваш уникальный идентификатор ключ.
Мы вышлем вам инструмент дешифрования с вашим личным паролем дешифрования.
Где можно купить биткойны:
https://www.coinbase.com
https://localbitcoins.com
Контакт: unlockransomware@protonmail.com.
Биткойн-кошелек для осуществления перевода:
3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu
Уникальный Идентификатор Ключ (должен быть выслан нам вместе с подтверждением оплаты):
Unique Identifier Key (must be sent to us together with proof of payment): 
-----------------------------------------------------------------------------------------
gI8qDdI4GUgivJyIfwGjnM4e6RApVok9ZzvrSKaYl2Ta1ZVA/DCT32*** [всего 344 знака]
-----------------------------------------------------------------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_ME_RECOVER_MY_FILES.txt
pashka.exe (PASHKA.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Moises\source\repos\Quimera Crypter\Release\Stub.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: unlockransomware@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
SNDBOX >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet + Tweet + Tweet
 ID Ransomware (ID as Pashka Quimera Crypter )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PCrisk
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SatanCryptor Go

SatanCryptor Go Ransomware

Variants: M0rphine, Session

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. В ответном письме требуют предварительную сумму в $150. Общая сумма выкупа за расшифровку всех файлов: $300. Оригинальное название: SatanCryptor. Написан на языке Go. Распространитель может быть из Ирана (г. Тегеран). 

Обнаружения:
DrWeb -> Trojan.Encoder.30507, Trojan.Encoder.10648
BitDefender -> Trojan.GenericKD.42212864

ESET-NOD32 -> A Variant Of Win32/Filecoder.NYZ
Malwarebytes -> Ransom.SatanCryptor

McAfee -> Trojan-Ransom.b
Microsoft -> Ransom:Win32/SatanCrypt!MTB

Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_SatanCrypt.R002C0DA920
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: Satan Cryptor 2.0 (2017) > Lucky (2018) > Lucky-Chinese (2019)  >> SatanCryptor Go

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .satan

Оригинальное имя файла модифицируется по шаблону, к которому добавляется расширение: #_THIS_FILE_IS_ENCRYPTED_[<random{16}>]-[ID-<id{32}>-[EMAIL-<email_ransom>].satan

Примеры зашифрованных файлов:

#_THIS_FILE_IS_ENCRYPTED_[4F9A7D35B2C38BAD]-[ID-B10003650CD4B4419CECFD4884D5E792]-[EMAIL-MREncptor@protonmail.com].satan

#_THIS_FILE_IS_ENCRYPTED_[D0F880D96CC61C4D]-[ID-B10003650CD4B4419CECFD4884D5E792]-[EMAIL-MREncptor@protonmail.com].satan

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Дата первой загрузки на VT: 5 января 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # SATAN CRYPTOR #.hta

Содержание записки о выкупе:
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the cipher key recovery is impossible!
To decrypt your files you need to buy the special software - SATAN DECRYPTOR and your Private Decryption Key.
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the our e-mail: MREncptor@protonmail.com
Please write your Personal Identification Code in body of your message.
Also attach to email 3 encrypted files for free decryption test. (each file have to be less than 1 MB size and not have valuable content)
It is in your interest to respond as soon as possible to ensure the restoration of your files!
Your Personal Identification Code:
[****************************]

Перевод записки на русский язык:
Внимание!
Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы криптографически надежно, без ключа шифрования восстановление невозможно!
Для расшифровки ваших файлов вам надо приобрести специальную программу - SATAN DECRYPTOR и ваш личный ключ расшифровки.
Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий того, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на наш emailа: MREncptor@protonmail.com
Пожалуйста, напишите свой личный идентификационный код в теле вашего сообщения.
Также приложите к email 3 зашифрованных файла для бесплатной тест-расшифровки. (каждый файл должен иметь размер менее 1 МБ и не иметь ценного содержания)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов!
Ваш личный идентификационный код:
[****************************]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Ответное письмо от вымогателей:

 

Таким образом вымогатель может быть из Ирана (г.Тегеран). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# SATAN CRYPTOR #.hta - название файла с требованиями выкупа
<SATAN CRYPTOR>
<SATAN DECRYPTOR>
satan0
satan1
2019-12-18.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\satan\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MREncptor@protonmail.com
BTC: 17pVDqRJKK8kZ7FrZhWg6F1Ydk6uWETJHi
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Satan Cryptor 2.0 Ransomware (2017) 
Lucky Ransomware (2018)
Lucky-Chinese Ransomware (2019)
SatanCryptor Go Ransomware (2020)
M0rphine Ransomware (2020)

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 марта 2020 / 7 мая 2020:
Пост в Твиттере >>
https://twitter.com/fbgwls245/status/1258258631650275328 
Расширение: .M0rphine
Шаблон зашифрованного файла: ReadMe.txt.[ID-<ID{32}>]-[EMAIL-M0rphine@cock.li].M0rphine
Пример зашифрованного файла: ReadMe.txt.[ID-E457D476F0D1CC133CDA4E8651B4F696]-[EMAIL-M0rphine@cock.li].M0rphine

Записка: # M0rphine Help #.hta
Email: M0rphine@cock.li 
Файлы: satan0, satan1
Файл EXE: mor.exe
Результаты анализов: VT + TG + VMR + IA + AR
➤ Содержание записки: 
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the cipher key recovery is impossible! 
 To decrypt your files you need to buy the special software - M0rphine Decryptor and your Private Decryption Key. 
 Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. 
 If you want to restore files, write us to the our e-mail: M0rphine@cock.li 
 Please write your Personal Identification Code in body of your message. 
 Also attach to email 3 encrypted files for free decryption test. (each file have to be less than 1 MB size and not have valuable content) 
 It is in your interest to respond as soon as possible to ensure the restoration of your files! 
 Your Personal Identification Code: 
5354000000019B040000C4E577427712C2080811B*** [всего 2402 знаков]
---

 

Обновление от 29 мая 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .session
Шаблон зашифрованного файла: [svmst@cock.li]filename.<ID{40}>.session
Пример зашифрованного файла: [svmst@cock.li]metadata.ZPE5MA0A4ISI8XTB1AYO7X0YLG8LC4PWZYC8O6NW.session
Записка: _ÈçºÎ½âÃÜÎÒµÄÎļþ_.txt
C:\Users\User\AppData\Local\Temp\tmp.txt
Email: svmst@cock.li
BTC: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Файл EXE: svchost.exe
Результаты анализов: VT + AR + AR + IA

  

Обновление от 19 октября 2020: 

Пост в Твиттере >>

Расширение: .satan

Пример полного расширения зашифрованного файла: #_THIS_FILE_IS_ENCRYPTED_[JB5B8C00E874FE30B]-[ID-C01239FF8D0EDDA1BD23775AA4678305]-[EMAIL-MREncptor@protonmail.com].satan

Email: MREncptor@protonmail.com

Результаты анализов: VT +  IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.10648

ALYac -> Trojan.Ransom.Satan

BitDefender -> Generic.Ransom.SatanCrypt.18F55D1A

ESET-NOD32 -> A Variant Of Win32/Filecoder.NYZ

Malwarebytes -> Ransom.SatanCryptor

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SatanCryptor)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, f0wlsec
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.