SatanCryptor Go

SatanCryptor Go Ransomware

Variants: M0rphine, Session

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. В ответном письме требуют предварительную сумму в $150. Общая сумма выкупа за расшифровку всех файлов: $300. Оригинальное название: SatanCryptor. Написан на языке Go. Распространитель может быть из Ирана (г. Тегеран). 

Обнаружения:
DrWeb -> Trojan.Encoder.30507, Trojan.Encoder.10648
BitDefender -> Trojan.GenericKD.42212864

ESET-NOD32 -> A Variant Of Win32/Filecoder.NYZ
Malwarebytes -> Ransom.SatanCryptor

McAfee -> Trojan-Ransom.b
Microsoft -> Ransom:Win32/SatanCrypt!MTB

Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_SatanCrypt.R002C0DA920
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: Satan Cryptor 2.0 (2017) > Lucky (2018) > Lucky-Chinese (2019)  >> SatanCryptor Go

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .satan

Оригинальное имя файла модифицируется по шаблону, к которому добавляется расширение: #_THIS_FILE_IS_ENCRYPTED_[<random{16}>]-[ID-<id{32}>-[EMAIL-<email_ransom>].satan

Примеры зашифрованных файлов:

#_THIS_FILE_IS_ENCRYPTED_[4F9A7D35B2C38BAD]-[ID-B10003650CD4B4419CECFD4884D5E792]-[EMAIL-MREncptor@protonmail.com].satan

#_THIS_FILE_IS_ENCRYPTED_[D0F880D96CC61C4D]-[ID-B10003650CD4B4419CECFD4884D5E792]-[EMAIL-MREncptor@protonmail.com].satan

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Дата первой загрузки на VT: 5 января 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # SATAN CRYPTOR #.hta

Содержание записки о выкупе:
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the cipher key recovery is impossible!
To decrypt your files you need to buy the special software - SATAN DECRYPTOR and your Private Decryption Key.
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the our e-mail: MREncptor@protonmail.com
Please write your Personal Identification Code in body of your message.
Also attach to email 3 encrypted files for free decryption test. (each file have to be less than 1 MB size and not have valuable content)
It is in your interest to respond as soon as possible to ensure the restoration of your files!
Your Personal Identification Code:
[****************************]

Перевод записки на русский язык:
Внимание!
Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы криптографически надежно, без ключа шифрования восстановление невозможно!
Для расшифровки ваших файлов вам надо приобрести специальную программу - SATAN DECRYPTOR и ваш личный ключ расшифровки.
Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий того, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на наш emailа: MREncptor@protonmail.com
Пожалуйста, напишите свой личный идентификационный код в теле вашего сообщения.
Также приложите к email 3 зашифрованных файла для бесплатной тест-расшифровки. (каждый файл должен иметь размер менее 1 МБ и не иметь ценного содержания)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов!
Ваш личный идентификационный код:
[****************************]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Ответное письмо от вымогателей:

 

Таким образом вымогатель может быть из Ирана (г.Тегеран). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# SATAN CRYPTOR #.hta - название файла с требованиями выкупа
<SATAN CRYPTOR>
<SATAN DECRYPTOR>
satan0
satan1
2019-12-18.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\satan\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MREncptor@protonmail.com
BTC: 17pVDqRJKK8kZ7FrZhWg6F1Ydk6uWETJHi
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Satan Cryptor 2.0 Ransomware (2017) 
Lucky Ransomware (2018)
Lucky-Chinese Ransomware (2019)
SatanCryptor Go Ransomware (2020)
M0rphine Ransomware (2020)

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 марта 2020 / 7 мая 2020:
Пост в Твиттере >>
https://twitter.com/fbgwls245/status/1258258631650275328 
Расширение: .M0rphine
Шаблон зашифрованного файла: ReadMe.txt.[ID-<ID{32}>]-[EMAIL-M0rphine@cock.li].M0rphine
Пример зашифрованного файла: ReadMe.txt.[ID-E457D476F0D1CC133CDA4E8651B4F696]-[EMAIL-M0rphine@cock.li].M0rphine

Записка: # M0rphine Help #.hta
Email: M0rphine@cock.li 
Файлы: satan0, satan1
Файл EXE: mor.exe
Результаты анализов: VT + TG + VMR + IA + AR
➤ Содержание записки: 
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the cipher key recovery is impossible! 
 To decrypt your files you need to buy the special software - M0rphine Decryptor and your Private Decryption Key. 
 Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. 
 If you want to restore files, write us to the our e-mail: M0rphine@cock.li 
 Please write your Personal Identification Code in body of your message. 
 Also attach to email 3 encrypted files for free decryption test. (each file have to be less than 1 MB size and not have valuable content) 
 It is in your interest to respond as soon as possible to ensure the restoration of your files! 
 Your Personal Identification Code: 
5354000000019B040000C4E577427712C2080811B*** [всего 2402 знаков]
---

 

Обновление от 29 мая 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .session
Шаблон зашифрованного файла: [svmst@cock.li]filename.<ID{40}>.session
Пример зашифрованного файла: [svmst@cock.li]metadata.ZPE5MA0A4ISI8XTB1AYO7X0YLG8LC4PWZYC8O6NW.session
Записка: _ÈçºÎ½âÃÜÎÒµÄÎļþ_.txt
C:\Users\User\AppData\Local\Temp\tmp.txt
Email: svmst@cock.li
BTC: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Файл EXE: svchost.exe
Результаты анализов: VT + AR + AR + IA

  

Обновление от 19 октября 2020: 

Пост в Твиттере >>

Расширение: .satan

Пример полного расширения зашифрованного файла: #_THIS_FILE_IS_ENCRYPTED_[JB5B8C00E874FE30B]-[ID-C01239FF8D0EDDA1BD23775AA4678305]-[EMAIL-MREncptor@protonmail.com].satan

Email: MREncptor@protonmail.com

Результаты анализов: VT +  IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.10648

ALYac -> Trojan.Ransom.Satan

BitDefender -> Generic.Ransom.SatanCrypt.18F55D1A

ESET-NOD32 -> A Variant Of Win32/Filecoder.NYZ

Malwarebytes -> Ransom.SatanCryptor

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as SatanCryptor)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, f0wlsec
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Somik1

Somik1 Ransomware

Rams1 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: somik1. На файле написано: somik1.exe. Написан на языке .NET

Обнаружения:
DrWeb -> Trojan.Encoder.30525
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.Somik1
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> TROJ_GEN.R002C0OA520
Emsisoft -> Gen:Heur.Ransom.REntS.Gen.1 (B)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ✂️ HiddenTear + .NET >> Somik1 > Rams1

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.somik1
.arnoldmichel2@tutanota.com


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Первая загрузка на VT была 2 января 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются: 
WARNING.txt, WARNING2.txt, WARNING3.txt ...

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail ARNOLDMICHEL2@TUTANOTA.COM
Your PC id: ***
Free decryption as guarantee:
- Before payment you can send us 1-2 files for free decryption.
- Please note that files must NOT contain valuable information.
How to obtain Bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site.
You have to register, click Buy bitcoins, and select the seller by payment method and price.
https://localbitcoins.net/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
- Do not rename encrypted files
- Do not try to decrypt your data using third party software, it may cause permanent data loss
- You are guaranteed to get the decryptor after payment
- Do not attempt to use the antivirus or uninstall the program
- This will lead to your data loss and unrecoverable
- Decoders of other users is not suitable to decrypt your files - encryption key is unique!

Перевод записки на русский язык:
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Если вы хотите восстановить их, напишите нам на email ARNOLDMICHEL2@TUTANOTA.COM
ID вашего ПК: ***
Бесплатная расшифровка как гарантия:
- Перед оплатой вы можете отправить нам 1-2 файла для бесплатной расшифровки.
- Обратите внимание, что файлы не должны содержать ценную информацию.
Как получить биткойны:
Самый простой способ купить биткойны - это сайт LocalBitcoins.
Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.net/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
- Не переименовывайте зашифрованные файлы
- Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных
- Вы гарантированно получите расшифровщик после оплаты
- Не пытайтесь использовать антивирус или удалить программу
- Это приведет к потере ваших данных и неисправности
- Декодеры других пользователей не подходят для расшифровки ваших файлов - ключ шифрования уникален!

Другой запиской с требованием выкупа выступает hta-файл: ***

Содержание записки о выкупе:
All your files are blocked!!!
---
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ARNOLDMICHEL2@TUTANOTA.COM
---
Free decryption as guarantee
- Before payment you can send us 1-2 files for free decryption.
- Please note that files must NOT contain valuable information.
Contact information also in files WARNING.txt on your desktop
---
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.net/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/inf ormation/how-can-i-buy-bitcoins/
---
Attention!
- Do not rename encrypted files
- Do not try to decrypt your data using third party software, it may cause permanent data loss
- You are guaranteed to get the decrypt or after payment
- Do not attempt to use the antivirus or uninstall the program

Перевод записки на русский язык:
Все ваши файлы заблокированы !!!
---
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите восстановить их, напишите нам на email ARNOLDMICHEL2@TUTANOTA.COM
---
Бесплатная расшифровка как гарантия
- Перед оплатой вы можете отправить нам 1-2 файла для бесплатной расшифровки.
- Обратите внимание, что файлы не должны содержать ценную информацию.
Контактная информация также в файлах WARNING.txt на вашем рабочем столе
---
Как получить биткойны
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вам надо зарегистрироваться, выбрать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.net/buy_bitcoins
Также вы можете найти другие места, чтобы купить Биткоины и руководство для начинающих здесь:
http://www.coindesk.com/inf ormation/how-can-i-buy-bitcoins/
---
Внимание!
- Не переименовывайте зашифрованные файлы
- Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных
- Вы гарантированно получите расшифровку или после оплаты
- Не пытайтесь использовать антивирус или удалить программу

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Пытается долго спать (больше двух минут).
➤ Изменяет файлы в папке расширений Google Chrome, действия выглядят как кража личных данных.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3DS, .3fr, .3FR, .7z, .asp, .aspx, .avi, .AVI, .bmp, .BMP, .css, .CSS, .csv, .CSV, .doc, .DOC, .docx, .DOCX, .flv, .FLV, .GIF, .gif, .html, .jpeg, .JPEG, .jpg, .JPG, .mdb, .mov, .MOV, .mp3, .MP3, .mp4, .MP4, .MPEG, .mpeg, .odt, .PDF, .pdf, .php, .PHP, .png, .PNG, .ppt, .pptx, .psd, .rar, .RAR, .raw, .RAW, .sql, .tiff, .TIFF, .txt, .TXT, .WMV, .wmv, .xls, .XLS, .xlsx, .XLSX, .xml, .zip, .ZIP (65 расширений с повторами в верхнем регистре). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WARNING.txt
WARNING2.txt
WARNING3.txt
WARNING4.txt
WARNING5.txt
WARNING6.txt
somik1.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
G:\mal\SOSED\somik1-2.0\somik1\obj\Release\somik1.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: pofig.top
Email: arnoldmichel2@tutanota.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 16 января 2020 (предположительно есть субъективная связь):
Пост в Твиттере >>
Расширение: .rams1
Записка: ReadmeForDecryption.txt
Email: -
Файл: Rams1.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender -> Gen:Heur.Ransom.RTH.1
McAfee -> Ransomware-FTD!1E6A96CCB0D9
➤ Содержание записки о выкупе: 
Your files have been encryted with Rams1, your id number is ***, follow these
instructions: http://bercerramsh.onion/***
---
Сравнение кода не подтверждает кодовую связь, но не исключает субъективную. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as Somik1)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, GrujaRS, Akhmed Taia
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SlankCryptor

SlankCryptor Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, включает таймер и угрожает уничтожить данные пользователей с помощью форматирования жесткого диска, если не будут выполнены требования и выплачен выкуп. Демонстрирует фотографии индонезийской рок-группы Slank в экране блокировки с таймером времени. Оригинальное название: SlankCryptor. На файлах написано: WindowsApp.exe и SlankCryptor Profit Only. Нацелен только на извлечение прибыли: "SlankCryptor Profit Only". Страна разработки: Индонезия. 

Обнаружения:
DrWeb -> BackDoor.BladabindiNET.10, Trojan.Encoder.30785
BitDefender -> Trojan.GenericKD.32913036, Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Bladabindi.AS
McAfee -> RDN/Generic.grp
TrendMicro -> Backdoor.Win32.BLADABINDI.THAOFBO
Symantec -> ML.Attribute.HighConfidence
Kaspersky -> HEUR:Trojan.MSIL.DiskWriter.gen
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Casur!8.10E51 (CLOUD)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ✂️ HiddenTear + .NET >> SlankCryptor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .slank


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Тестовый образец этого крипто-вымогателя был найден в начале января 2020 г. Штамп времени и дата первой загрузки на VT: 8 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:
Your Computer will reboot at:
20:59:39
And All your Hard Drives will formatted!
---
How to save my PC and Get back my data? This is pretty easy. You can give your money to Slank Band participants
and we will give you decryptor then you can able to save your PC and Data.
Our Help Site:
http://www.slank.tk/informasi.html
Our Official Site: http://www.slank.com
BY: BIMO SETIAWAN ALMACHZUMI
(BIMBIM)
---
WARNING
DON'T TRY TO SHUT DOWN OR
REBOOT YOUR PC BECAUSE
YOUR PC WILL GET WEIRD THINGS
AND WILL BLOCKED TOTALLY.
YOU WILL GET WHAT WE SAY
YOU CANNOT RECOVER ANY DATA
FROM ANOTHER DEVICES.
---
OK. I'll Give mv monev now!

Перевод записки на русский язык:
Ваш компьютер перезагрузится:
20:59:39
И все ваши жесткие диски будут отформатированы!
Как сохранить мой ПК и вернуть мои данные? Это очень просто. Вы можете отдать свои деньги участникам Slank Band, и мы дадим вам расшифровку, тогда вы сможете сохранить свой ПК и Данные.
Наш справочный сайт:
http://www.slank.tk/informasi.html
Наш официальный сайт: http://www.slank.com
На: БИМО СЕТИАВАН АЛЬМАЧЗУМИ (BIMBIM)
---
ПРЕДУПРЕЖДЕНИЕ
НЕ ПЫТАЙТЕСЬ ВЫКЛЮЧИТЬ ИЛИ ПЕРЕЗАГРУЗИТЬ ВАШ ПК, Т.К. ВАШ ПК ПОЛУЧИТ СТРАННЫЕ ВЕЩИ И БУДЕТ ЗАБЛОКИРОВАН.
ВЫ ПОЛУЧИТЕ ТО, ЧТО МЫ ГОВОРИМ
ВЫ НЕ СМОЖЕТЕ ВОССТАНОВИТЬ ЛЮБЫЕ ДАННЫЕ С ДРУГИХ УСТРОЙСТВ.
---
[OK. Я дам свои деньги сейчас!]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
slkc.exe
<ransom_note>.txt - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: daqexploitfree.duckdns.org
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.